|
Sunt articole care ma ajuta sa exemplific ce sustin si ca sa fiu
sigur ca nu dispar din locatia originala apelind la performantul instrument "copy/paste" le fixez la mine pe site.
Pornind de la ele cu resursele mele limitate caut sa le adaug TVA.(fara "Taxa" mai mult "Valoare Adaugata")
Ca reusesc sau nu asta este alta poveste. Sursa-legislatie
pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date
CAPITOLUL I
Dispozitii generale
Scop
Art. 1.
(1) Prezenta lege are ca scop garantarea si
protejarea drepturilor si libertatilor fundamentale ale persoanelor
fizice, in special a dreptului la viata intima, familiala si privata, cu
privire la prelucrarea datelor cu caracter personal.
(2) Exercitarea drepturilor prevazute in prezenta lege nu poate fi
restransa decat in cazuri expres si limitativ prevazute de lege.
Domeniu de aplicare
Art. 2.
(1) Prezenta lege se aplica prelucrarilor de date
cu caracter personal, efectuate, in tot sau in parte, prin mijloace
automate, precum si prelucrarii prin alte mijloace decat cele automate a
datelor cu caracter personal care fac parte dintr-un sistem de evidenta
sau care sunt destinate sa fie incluse intr-un asemenea sistem.
(2) Prezenta lege se aplica:
a) prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori stabiliti in Romania;
b) prelucrarilor de date cu caracter personal, efectuate in cadrul
activitatilor desfasurate de misiunile diplomatice sau de oficiile
consulare ale Romaniei;
c) prelucrarilor de date cu caracter personal, efectuate in cadrul
activitatilor desfasurate de operatori care nu sunt stabiliti in
Romania, prin utilizarea de mijloace de orice natura situate pe
teritoriul Romaniei, cu exceptia cazului in care aceste mijloace nu sunt
utilizate decat in scopul tranzitarii pe teritoriul Romaniei a datelor
cu caracter personal care fac obiectul prelucrarilor respective.
(3) In cazul prevazut la alin. (2) lit. c) operatorul isi va desemna un
reprezentant care trebuie sa fie o persoana stabilita in Romania.
Prevederile prezentei legi aplicabile operatorului sunt aplicabile si
reprezentantului acestuia, fara a aduce atingere posibilitatii de a
introduce actiune in justitie direct impotriva operatorului.
(4) Prezenta lege se aplica prelucrarilor de date cu caracter personal
efectuate de persoane fizice sau juridice, romane ori straine, de drept
public sau de drept privat, indiferent daca au loc in sectorul public
sau in sectorul privat.
(5) In limitele prevazute de prezenta lege, aceasta se aplica si
prelucrarilor si transferului de date cu caracter personal, efectuate in
cadrul activitatilor de prevenire, cercetare si reprimare a
infractiunilor si de mentinere a ordinii publice, precum si al altor
activitati desfasurate in domeniul dreptului penal, in limitele si cu
restrictiile stabilite de lege.
(6) Prezenta lege nu se aplica prelucrarilor de date cu caracter
personal, efectuate de persoane fizice exclusiv pentru uzul lor
personal, daca datele in cauza nu sunt destinate a fi dezvaluite.
(7) Prezenta lege nu se aplica prelucrarilor si transferului de date cu
caracter personal, efectuate in cadrul activitatilor in domeniul
apararii nationale si sigurantei nationale, desfasurate in limitele si
cu restrictiile stabilite de lege.
(8) Prevederile prezentei legi nu aduc atingere obligatiilor asumate de Romania prin instrumente juridice ratificate.
Definitii
Art. 3.
In intelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:
a) date cu caracter personal - orice informatii referitoare la o
persoana fizica identificata sau identificabila; o persoana
identificabila este acea persoana care poate fi identificata, direct sau
indirect, in mod particular prin referire la un numar de identificare
ori la unul sau la mai multi factori specifici identitatii sale fizice,
fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter personal - orice operatiune sau set
de operatiuni care se efectueaza asupra datelor cu caracter personal,
prin mijloace automate sau neautomate, cum ar fi colectarea,
inregistrarea, organizarea, stocarea, adaptarea ori modificarea,
extragerea, consultarea, utilizarea, dezvaluirea catre terti prin
transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea,
blocarea, stergerea sau distrugerea;
c) stocarea - pastrarea pe orice fel de suport a datelor cu caracter personal culese;
d) sistem de evidenta a datelor cu caracter personal - orice structura
organizata de date cu caracter personal, accesibila potrivit unor
criterii determinate, indiferent daca aceasta structura este organizata
in mod centralizat ori descentralizat sau este repartizata dupa criterii
functionale ori geografice;
e) operator - orice persoana fizica sau juridica, de drept privat ori de
drept public, inclusiv autoritatile publice, institutiile si
structurile teritoriale ale acestora, care stabileste scopul si
mijloacele de prelucrare a datelor cu caracter personal; daca scopul si
mijloacele de prelucrare a datelor cu caracter personal sunt determinate
printr-un act normativ sau in baza unui act normativ, operator este
persoana fizica sau juridica, de drept public ori de drept privat, care
este desemnata ca operator prin acel act normativ sau in baza acelui act
normativ;
f) persoana imputernicita de catre operator - o persoana fizica sau
juridica, de drept privat ori de drept public, inclusiv autoritatile
publice, institutiile si structurile teritoriale ale acestora, care
prelucreaza date cu caracter personal pe seama operatorului;
g) tert - orice persoana fizica sau juridica, de drept privat ori de
drept public, inclusiv autoritatile publice, institutiile si structurile
teritoriale ale acestora, alta decat persoana vizata, operatorul ori
persoana imputernicita sau persoanele care, sub autoritatea directa a
operatorului sau a persoanei imputernicite, sunt autorizate sa
prelucreze date;
h) destinatar - orice persoana fizica sau juridica, de drept privat ori
de drept public, inclusiv autoritatile publice, institutiile si
structurile teritoriale ale acestora, careia ii sunt dezvaluite date,
indiferent daca este sau nu tert; autoritatile publice carora li se
comunica date in cadrul unei competente speciale de ancheta nu vor fi
considerate destinatari;
i) date anonime - date care, datorita originii sau modalitatii specifice
de prelucrare, nu pot fi asociate cu o persoana identificata sau
identificabila.
CAPITOLUL II
Reguli generale privind prelucrarea datelor cu caracter personal
Caracteristicile datelor cu caracter personal in cadrul prelucrarii
Art. 4.
(1) Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:
a) prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in vigoare;
b) colectate in scopuri determinate, explicite si legitime; prelucrarea
ulterioara a datelor cu caracter personal in scopuri statistice, de
cercetare istorica sau stiintifica nu va fi considerata incompatibila cu
scopul colectarii daca se efectueaza cu respectarea dispozitiilor
prezentei legi, inclusiv a celor care privesc efectuarea notificarii
catre autoritatea de supraveghere, precum si cu respectarea garantiilor
privind prelucrarea datelor cu caracter personal, prevazute de normele
care reglementeaza activitatea statistica ori cercetarea istorica sau
stiintifica;
c) adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
d) exacte si, daca este cazul, actualizate; in acest scop se vor lua
masurile necesare pentru ca datele inexacte sau incomplete din punct de
vedere al scopului pentru care sunt colectate si pentru care vor fi
ulterior prelucrate, sa fie sterse sau rectificate;
e) stocate intr-o forma care sa permita identificarea persoanelor vizate
strict pe durata necesara realizarii scopurilor in care datele sunt
colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o
durata mai mare decat cea mentionata, in scopuri statistice, de
cercetare istorica sau stiintifica, se va face cu respectarea
garantiilor privind prelucrarea datelor cu caracter personal, prevazute
in normele care reglementeaza aceste domenii, si numai pentru perioada
necesara realizarii acestor scopuri.
(2) Operatorii au obligatia sa respecte prevederile alin. (1) si sa
asigure indeplinirea acestor prevederi de catre persoanele
imputernicite.
Conditii de legitimitate privind prelucrarea datelor
Art. 5.
(1) Orice prelucrare de date cu caracter personal,
cu exceptia prelucrarilor care vizeaza date din categoriile mentionate
la art. 7 alin. (1), art. 8 si 10,
poate fi efectuata numai daca
persoana vizata si-a dat consimtamantul in mod expres si neechivoc
pentru acea prelucrare.
(2) Consimtamantul persoanei vizate nu este cerut in urmatoarele cazuri:
a) cand prelucrarea este necesara in vederea executarii unui contract
sau antecontract la care persoana vizata este parte ori in vederea
luarii unor masuri, la cererea acesteia, inaintea incheierii unui
contract sau antecontract;
b) cand prelucrarea este necesara in vederea protejarii vietii,
integritatii fizice sau sanatatii persoanei vizate ori a unei alte
persoane amenintate;
c) cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a operatorului;
d) cand prelucrarea este necesara in vederea aducerii la indeplinire a
unor masuri de interes public sau care vizeaza exercitarea
prerogativelor de autoritate publica cu care este investit operatorul
sau tertul caruia ii sunt dezvaluite datele;
e) cand prelucrarea este necesara in vederea realizarii unui interes
legitim al operatorului sau al tertului caruia ii sunt dezvaluite
datele, cu conditia ca acest interes sa nu prejudicieze interesul sau
drepturile si libertatile fundamentale ale persoanei vizate;
f) cand prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
g) cand prelucrarea este facuta exclusiv in scopuri statistice, de
cercetare istorica sau stiintifica, iar datele raman anonime pe toata
durata prelucrarii.
(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care
reglementeaza obligatia autoritatilor publice de a respecta si de a
ocroti viata intima, familiala si privata.
Incheierea operatiunilor de prelucrare
Art. 6.
(1) La incheierea operatiunilor de prelucrare,
daca persoana vizata nu si-a dat in mod expres si neechivoc
consimtamantul pentru o alta destinatie sau pentru o prelucrare
ulterioara, datele cu caracter personal vor fi:
a) distruse;
b) transferate unui alt operator, cu conditia ca operatorul initial sa
garanteze faptul ca prelucrarile ulterioare au scopuri similare celor in
care s-a facut prelucrarea initiala;
c) transformate in date anonime si stocate exclusiv in scopuri statistice, de cercetare istorica sau stiintifica.
(2) In cazul operatiunilor de prelucrare efectuate in conditiile
prevazute la art. 5 alin. (2) lit. c) sau d), in cadrul activitatilor
descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter
personal pe perioada necesara realizarii scopurilor concrete urmarite,
cu conditia asigurarii unor masuri corespunzatoare de protejare a
acestora, dupa care va proceda la distrugerea lor daca nu sunt
aplicabile prevederile legale privind pastrarea arhivelor.
CAPITOLUL III
Reguli speciale privind prelucrarea datelor cu caracter personal
Prelucrarea unor categorii speciale de date
Art. 7.
(1) Prelucrarea datelor cu caracter personal
legate de originea rasiala sau etnica, de convingerile politice,
religioase, filozofice sau de natura similara, de apartenenta sindicala,
precum si a datelor cu caracter personal privind starea de sanatate sau
viata sexuala este interzisa.
(2) Prevederile alin. (1) nu se aplica in urmatoarele cazuri:
a) cand persoana vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
b) cand prelucrarea este necesara in scopul respectarii obligatiilor sau
drepturilor specifice ale operatorului in domeniul dreptului muncii, cu
respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre
un tert a datelor prelucrate poate fi efectuata numai daca exista o
obligatie legala a operatorului in acest sens sau daca persoana vizata a
consimtit expres la aceasta dezvaluire;
c) cand prelucrarea este necesara pentru protectia vietii, integritatii
fizice sau a sanatatii persoanei vizate ori a altei persoane, in cazul
in care persoana vizata se afla in incapacitate fizica sau juridica de
a-si da consimtamantul;
d) cand prelucrarea este efectuata in cadrul activitatilor sale legitime
de catre o fundatie, asociatie sau de catre orice alta organizatie cu
scop nelucrativ si cu specific politic, filozofic, religios ori
sindical, cu conditia ca persoana vizata sa fie membra a acestei
organizatii sau sa intretina cu aceasta, in mod regulat, relatii care
privesc specificul activitatii organizatiei si ca datele sa nu fie
dezvaluite unor terti fara consimtamantul persoanei vizate;
e) cand prelucrarea se refera la date facute publice in mod manifest de catre persoana vizata;
f) cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie;
g) cand prelucrarea este necesara in scopuri de medicina preventiva, de
stabilire a diagnosticelor medicale, de administrare a unor ingrijiri
sau tratamente medicale pentru persoana vizata ori de gestionare a
serviciilor de sanatate care actioneaza in interesul persoanei vizate,
cu conditia ca prelucrarea datelor respective sa fie efectuate de catre
ori sub supravegherea unui cadru medical supus secretului profesional
sau de catre ori sub supravegherea unei alte persoane supuse unei
obligatii echivalente in ceea ce priveste secretul;
h) cand legea prevede in mod expres aceasta in scopul protejarii unui
interes public important, cu conditia ca prelucrarea sa se efectueze cu
respectarea drepturilor persoanei vizate si a celorlalte garantii
prevazute de prezenta lege.
(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care
reglementeaza obligatia autoritatilor publice de a respecta si de a
ocroti viata intima, familiala si privata.
(4) Autoritatea de supraveghere poate dispune, din motive intemeiate,
interzicerea efectuarii unei prelucrari de date din categoriile
prevazute la alin. (1), chiar daca persoana vizata si-a dat in scris si
in mod neechivoc consimtamantul, iar acest consimtamant nu a fost
retras, cu conditia ca interdictia prevazuta la alin. (1) sa nu fie
inlaturata prin unul dintre cazurile la care se refera alin. (2) lit.
b)-g).
Prelucrarea datelor cu caracter personal avand functie de identificare
Art. 8.
(1) Prelucrarea codului numeric personal sau a
altor date cu caracter personal avand o functie de identificare de
aplicabilitate generala poate fi efectuata numai daca:
a) persoana vizata si-a dat in mod expres consimtamantul; sau
b) prelucrarea este prevazuta in mod expres de o dispozitie legala.
(2) Autoritatea de supraveghere poate stabili si alte cazuri in care se
poate efectua prelucrarea datelor prevazute la alin. (1), numai cu
conditia instituirii unor garantii adecvate pentru respectarea
drepturilor persoanelor vizate.
Prelucrarea datelor cu caracter personal privind starea de sanatate
Art. 9.
(1) In afara cazurilor prevazute la art. 7 alin.
(2), prevederile art. 7 alin. (1) nu se aplica in privinta prelucrarii
datelor privind starea de sanatate in urmatoarele cazuri:
a) daca prelucrarea este necesara pentru protectia sanatatii publice;
b) daca prelucrarea este necesara pentru prevenirea unui pericol
iminent, pentru prevenirea savarsirii unei fapte penale sau pentru
impiedicarea producerii rezultatului unei asemenea fapte ori pentru
inlaturarea urmarilor prejudiciabile ale unei asemenea fapte.
(2) Prelucrarea datelor privind starea de sanatate poate fi efectuata
numai de catre ori sub supravegherea unui cadru medical, cu conditia
respectarii secretului profesional, cu exceptia situatiei in care
persoana vizata si-a dat in scris si in mod neechivoc consimtamantul
atata timp cat acest consimtamant nu a fost retras, precum si cu
exceptia situatiei in care prelucrarea este necesara pentru prevenirea
unui pericol iminent, pentru prevenirea savarsirii unei fapte penale,
pentru impiedicarea producerii rezultatului unei asemenea fapte sau
pentru inlaturarea urmarilor sale prejudiciabile.
(3) Cadrele medicale, institutiile de sanatate si personalul medical al
acestora pot prelucra date cu caracter personal referitoare la starea de
sanatate, fara autorizatia autoritatii de supraveghere, numai daca
prelucrarea este necesara pentru protejarea vietii, integritatii fizice
sau sanatatii persoanei vizate. Cand scopurile mentionate se refera la
alte persoane sau la public in general si persoana vizata nu si-a dat
consimtamantul in scris si in mod neechivoc, trebuie ceruta si obtinuta
in prealabil autorizatia autoritatii de supraveghere. Prelucrarea
datelor cu caracter personal in afara limitelor prevazute in autorizatie
este interzisa.
(4) Cu exceptia motivelor de urgenta, autorizatia prevazuta la alin. (3)
poate fi acordata numai dupa ce a fost consultat Colegiul Medicilor din
Romania.
(5) Datele cu caracter personal privind starea de sanatate pot fi
colectate numai de la persoana vizata. Prin exceptie, aceste date pot fi
colectate din alte surse numai in masura in care este necesar pentru a
nu compromite scopurile prelucrarii, iar persoana vizata nu vrea ori nu
le poate furniza.
Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contraventii
Art. 10.
(1) Prelucrarea datelor cu caracter personal
referitoare la savarsirea de infractiuni de catre persoana vizata ori la
condamnari penale, masuri de siguranta sau sanctiuni administrative ori
contraventionale, aplicate persoanei vizate, poate fi efectuata numai
de catre sau sub controlul autoritatilor publice, in limitele puterilor
ce le sunt conferite prin lege si in conditiile stabilite de legile
speciale care reglementeaza aceste materii.
(2) Autoritatea de supraveghere poate stabili si alte cazuri in care se
poate efectua prelucrarea datelor prevazute la alin. (1), numai cu
conditia instituirii unor garantii adecvate pentru respectarea
drepturilor persoanelor vizate.
(3) Un registru complet al condamnarilor penale poate fi tinut numai sub
controlul unei autoritati publice, in limitele puterilor ce ii sunt
conferite prin lege.
Exceptii
Art. 11.
Prevederile art. 5, 6, 7 si 10 nu se aplica in
situatia in care prelucrarea datelor se face exclusiv in scopuri
jurnalistice, literare sau artistice, daca prelucrarea priveste date cu
caracter personal care au fost facute publice in mod manifest de catre
persoana vizata sau care sunt strans legate de calitatea de persoana
publica a persoanei vizate ori de caracterul public al faptelor in care
este implicata.
CAPITOLUL IV
Drepturile persoanei vizate in contextul prelucrarii datelor cu caracter personal
Informarea persoanei vizate
Art. 12.
(1) In cazul in care datele cu caracter personal
sunt obtinute direct de la persoana vizata, operatorul este obligat sa
furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia
cazului in care aceasta persoana poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care se face prelucrarea datelor;
c) informatii suplimentare, precum: destinatarii sau categoriile de
destinatari ai datelor; daca furnizarea tuturor datelor cerute este
obligatorie si consecintele refuzului de a le furniza; existenta
drepturilor prevazute de prezenta lege pentru persoana vizata, in
special a dreptului de acces, de interventie asupra datelor si de
opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie a
autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(2) In cazul in care datele nu sunt obtinute direct de la persoana
vizata, operatorul este obligat ca, in momentul colectarii datelor sau,
daca se intentioneaza dezvaluirea acestora catre terti, cel mai tarziu
pana in momentul primei dezvaluiri, sa furnizeze persoanei vizate cel
putin urmatoarele informatii, cu exceptia cazului in care persoana
vizata poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care se face prelucrarea datelor;
c) informatii suplimentare, precum: categoriile de date vizate,
destinatarii sau categoriile de destinatari ai datelor, existenta
drepturilor prevazute de prezenta lege pentru persoana vizata, in
special a dreptului de acces, de interventie asupra datelor si de
opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie a
autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(3) Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor
se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice,
daca aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplica in cazul in care prelucrarea
datelor se face in scopuri statistice, de cercetare istorica sau
stiintifica, ori in orice alte situatii in care furnizarea unor asemenea
informatii se dovedeste imposibila sau ar implica un efort
disproportionat fata de interesul legitim care ar putea fi lezat, precum
si in situatiile in care inregistrarea sau dezvaluirea datelor este
expres prevazuta de lege.
Dreptul de acces la date
Art. 13.
(1) Orice persoana vizata are dreptul de a obtine
de la operator, la cerere si in mod gratuit pentru o solicitare pe an,
confirmarea faptului ca datele care o privesc sunt sau nu sunt
prelucrate de acesta. Operatorul este obligat, in situatia in care
prelucreaza date cu caracter personal care privesc solicitantul, sa
comunice acestuia, impreuna cu confirmarea, cel putin urmatoarele:
a) informatii referitoare la scopurile prelucrarii, categoriile de date
avute in vedere si destinatarii sau categoriile de destinatari carora le
sunt dezvaluite datele;
b) comunicarea intr-o forma inteligibila a datelor care fac obiectul
prelucrarii, precum si a oricarei informatii disponibile cu privire la
originea datelor;
c) informatii asupra principiilor de functionare a mecanismului prin
care se efectueaza orice prelucrare automata a datelor care vizeaza
persoana respectiva;
d) informatii privind existenta dreptului de interventie asupra datelor
si a dreptului de opozitie, precum si conditiile in care pot fi
exercitate;
e) informatii asupra posibilitatii de a consulta registrul de evidenta a
prelucrarilor de date cu caracter personal, prevazut la art. 24, de a
inainta plangere catre autoritatea de supraveghere, precum si de a se
adresa instantei pentru atacarea deciziilor operatorului, in
conformitate cu dispozitiile prezentei legi.
(2) Persoana vizata poate solicita de la operator informatiile prevazute
la alin. (1), printr-o cerere intocmita in forma scrisa, datata si
semnata. In cerere solicitantul poate arata daca doreste ca informatiile
sa ii fie comunicate la o anumita adresa, care poate fi si de posta
electronica, sau printr-un serviciu de corespondenta care sa asigure ca
predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice informatiile solicitate, in
termen de 15 zile de la data primirii cererii, cu respectarea eventualei
optiuni a solicitantului exprimate potrivit alin. (2).
(4) In cazul datelor cu caracter personal legate de starea de sanatate,
cererea prevazuta la alin. (2) poate fi introdusa de persoana vizata fie
direct, fie prin intermediul unui cadru medical care va indica in
cerere persoana in numele careia este introdusa. La cererea operatorului
sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi
facuta prin intermediul unui cadru medical desemnat de persoana vizata.
(5) In cazul in care datele cu caracter personal legate de starea de
sanatate sunt prelucrate in scop de cercetare stiintifica, daca nu
exista, cel putin aparent, riscul de a se aduce atingere drepturilor
persoanei vizate si daca datele nu sunt utilizate pentru a lua decizii
sau masuri fata de o anumita persoana, comunicarea prevazuta la alin.
(3) se poate face si intr-un termen mai mare decat cel prevazut la acel
alineat, in masura in care aceasta ar putea afecta bunul mers sau
rezultatele cercetarii, si nu mai tarziu de momentul in care cercetarea
este incheiata. In acest caz persoana vizata trebuie sa isi fi dat in
mod expres si neechivoc consimtamantul ca datele sa fie prelucrate in
scop de cercetare stiintifica, precum si asupra posibilei amanari a
comunicarii prevazute la alin. (3) din acest motiv.
(6) Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor
se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice,
daca aplicarea acestora ar da indicii asupra surselor de informare.
Dreptul de interventie asupra datelor
Art. 14.
(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit:
a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a
caror prelucrare nu este conforma prezentei legi, in special a datelor
incomplete sau inexacte;
b) dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este conforma prezentei legi;
c) notificarea catre tertii carora le-au fost dezvaluite datele a oricarei operatiuni efectuate conform lit. a)
sau b), daca aceasta notificare nu se dovedeste imposibila sau nu
presupune un efort disproportionat fata de interesul legitim care ar
putea fi lezat.
(2) Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata
va inainta operatorului o cerere intocmita in forma scrisa, datata si
semnata. In cerere solicitantul poate arata daca doreste ca informatiile
sa ii fie comunicate la o anumita adresa, care poate fi si de posta
electronica, sau printr-un serviciu de corespondenta care sa asigure ca
predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice masurile luate in temeiul alin.
(1), precum si, daca este cazul, numele tertului caruia i-au fost
dezvaluite datele cu caracter personal referitoare la persoana vizata,
in termen de 15 zile de la data primirii cererii, cu respectarea
eventualei optiuni a solicitantului exprimate potrivit alin. (2).
Dreptul de opozitie
Art. 15.
(1) Persoana vizata are dreptul de a se opune in
orice moment, din motive intemeiate si legitime legate de situatia sa
particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu
exceptia cazurilor in care exista dispozitii legale contrare. In caz de
opozitie justificata prelucrarea nu mai poate viza datele in cauza.
(2) Persoana vizata are dreptul de a se opune in orice moment, in mod
gratuit si fara nici o justificare, ca datele care o vizeaza sa fie
prelucrate in scop de marketing direct, in numele operatorului sau al
unui tert, sau sa fie dezvaluite unor terti intr-un asemenea scop.
(3) In vederea exercitarii drepturilor prevazute la alin. (1) si (2)
persoana vizata va inainta operatorului o cerere intocmita in forma
scrisa, datata si semnata. In cerere solicitantul poate arata daca
doreste ca informatiile sa ii fie comunicate la o anumita adresa, care
poate fi si de posta electronica, sau printr-un serviciu de
corespondenta care sa asigure ca predarea i se va face numai personal.
(4) Operatorul este obligat sa comunice persoanei vizate masurile luate
in temeiul alin. (1) sau (2), precum si, daca este cazul, numele
tertului caruia i-au fost dezvaluite datele cu caracter personal
referitoare la persoana vizata, in termen de 15 zile de la data primirii
cererii, cu respectarea eventualei optiuni a solicitantului exprimate
potrivit alin. (3).
Exceptii
Art. 16.
(1) Prevederile art. 12, 13, ale art. 14 alin.
(3) si ale art. 15 nu se aplica in cazul activitatilor prevazute la art.
2 alin. (5), daca prin aplicarea acestora este prejudiciata eficienta
actiunii sau obiectivul urmarit in indeplinirea atributiilor legale ale
autoritatii publice.
(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada
necesara atingerii obiectivului urmarit prin desfasurarea activitatilor
mentionate la art. 2 alin. (5).
(3) Dupa incetarea situatiei care justifica aplicarea alin. (1) si (2)
operatorii care desfasoara activitatile prevazute la art. 2 alin. (5)
vor lua masurile necesare pentru a asigura respectarea drepturilor
persoanelor vizate.
(4) Autoritatile publice tin evidenta unor astfel de cazuri si
informeaza periodic autoritatea de supraveghere despre modul de
solutionare a lor.
Dreptul de a nu fi supus unei decizii individuale
Art. 17.
(1) Orice persoana are dreptul de a cere si de a obtine:
a) retragerea sau anularea oricarei decizii care produce efecte juridice
in privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu
caracter personal, efectuata prin mijloace automate, destinata sa
evalueze unele aspecte ale personalitatii sale, precum competenta
profesionala, credibilitatea, comportamentul sau ori alte asemenea
aspecte;
b) reevaluarea oricarei alte decizii luate in privinta sa, care o
afecteaza in mod semnificativ, daca decizia a fost adoptata exclusiv pe
baza unei prelucrari de date care intruneste conditiile prevazute la
lit. a).
(2) Respectandu-se celelalte garantii prevazute de prezenta lege, o
persoana poate fi supusa unei decizii de natura celei vizate la alin.
(1), numai in urmatoarele situatii:
a) decizia este luata in cadrul incheierii sau executarii unui contract,
cu conditia ca cererea de incheiere sau de executare a contractului,
introdusa de persoana vizata, sa fi fost satisfacuta sau ca unele masuri
adecvate, precum posibilitatea de a-si sustine punctul de vedere, sa
garanteze apararea propriului interes legitim;
b) decizia este autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului legitim al persoanei vizate.
Dreptul de a se adresa justitiei
Art. 18.
(1) Fara a se aduce atingere posibilitatii de a
se adresa cu plangere autoritatii de supraveghere, persoanele vizate au
dreptul de a se adresa justitiei pentru apararea oricaror drepturi
garantate de prezenta lege, care le-au fost incalcate.
(2) Orice persoana care a suferit un prejudiciu in urma unei prelucrari
de date cu caracter personal, efectuata ilegal, se poate adresa
instantei competente pentru repararea acestuia.
(3) Instanta competenta este cea in a carei raza teritoriala domiciliaza
reclamantul. Cererea de chemare in judecata este scutita de taxa de
timbru.
CAPITOLUL V
Confidentialitatea si securitatea prelucrarilor
Confidentialitatea prelucrarilor
Art. 19.
Orice persoana care actioneaza sub autoritatea
operatorului sau a persoanei imputernicite, inclusiv persoana
imputernicita, care are acces la date cu caracter personal, nu poate sa
le prelucreze decat pe baza instructiunilor operatorului, cu exceptia
cazului in care actioneaza in temeiul unei obligatii legale.
Securitatea prelucrarilor
Art. 20.
(1) Operatorul este obligat sa aplice masurile
tehnice si organizatorice adecvate pentru protejarea datelor cu caracter
personal impotriva distrugerii accidentale sau ilegale, pierderii,
modificarii, dezvaluirii sau accesului neautorizat, in special daca
prelucrarea respectiva comporta transmisii de date in cadrul unei
retele, precum si impotriva oricarei alte forme de prelucrare ilegala.
(2) Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii
utilizate in procesul de prelucrare si de costuri, un nivel de
securitate adecvat in ceea ce priveste riscurile pe care le reprezinta
prelucrarea, precum si in ceea ce priveste natura datelor care trebuie
protejate. Cerintele minime de securitate vor fi elaborate de
autoritatea de supraveghere si vor fi actualizate periodic,
corespunzator progresului tehnic si experientei acumulate.
(3) Operatorul, atunci cand desemneaza o persoana imputernicita, este
obligat sa aleaga o persoana care prezinta suficiente garantii in ceea
ce priveste masurile de securitate tehnica si organizatorice cu privire
la prelucrarile ce vor fi efectuate, precum si sa vegheze la respectarea
acestor masuri de catre persoana desemnata.
(4) Autoritatea de supraveghere poate decide, in cazuri individuale,
asupra obligarii operatorului la adoptarea unor masuri suplimentare de
securitate, cu exceptia celor care privesc garantarea securitatii
serviciilor de telecomunicatii.
(5) Efectuarea prelucrarilor prin persoane imputernicite trebuie sa se
desfasoare in baza unui contract incheiat in forma scrisa, care va
cuprinde in mod obligatoriu:
a) obligatia persoanei imputernicite de a actiona doar in baza instructiunilor primite de la operator;
b) faptul ca indeplinirea obligatiilor prevazute la alin. (1) revine si persoanei imputernicite.
CAPITOLUL VI
Supravegherea si controlul prelucrarilor de date cu caracter personal
Autoritatea de supraveghere
Art. 21.
(1) Autoritatea de supraveghere, in sensul prezentei legi, este Avocatul Poporului.
(2) Autoritatea de supraveghere isi desfasoara activitatea in conditii de completa independenta si impartialitate.
(3) Autoritatea de supraveghere monitorizeaza si controleaza sub
aspectul legalitatii prelucrarile de date cu caracter personal care cad
sub incidenta prezentei legi.
In acest scop autoritatea de supraveghere exercita urmatoarele atributii:
a) elaboreaza formularele tipizate ale notificarilor si ale registrelor proprii;
b) primeste si analizeaza notificarile privind prelucrarea datelor cu
caracter personal, anuntand operatorului rezultatele controlului
prealabil;
c) autorizeaza prelucrarile de date in situatiile prevazute de lege;
d) poate dispune, in cazul in care constata incalcarea dispozitiilor
prezentei legi, suspendarea provizorie sau incetarea prelucrarii
datelor, stergerea partiala ori integrala a datelor prelucrate si poate
sa sesiseze organele de urmarire penala sau sa intenteze actiuni in
justitie;
e) pastreaza si pune la dispozitie publicului registrul de evidenta a prelucrarilor de date cu caracter personal;
f) primeste si solutioneaza plangeri, sesizari sau cereri de la
persoanele fizice si comunica solutia data ori, dupa caz, diligentele
depuse;
g) efectueaza investigatii din oficiu sau la primirea unor plangeri ori sesizari;
h) este consultata atunci cand se elaboreaza proiecte de acte normative
referitoare la protectia drepturilor si libertatilor persoanelor, in
privinta prelucrarii datelor cu caracter personal;
i) poate face propuneri privind initierea unor proiecte de acte
normative sau modificarea actelor normative in vigoare in domenii legate
de prelucrarea datelor cu caracter personal;
j) coopereaza cu autoritatile publice si cu organele administratiei
publice, centralizeaza si analizeaza rapoartele anuale de activitate ale
acestora privind protectia persoanelor in privinta prelucrarii datelor
cu caracter personal, formuleaza recomandari si avize asupra oricarei
chestiuni legate de protectia drepturilor si libertatilor fundamentale
in privinta prelucrarii datelor cu caracter personal, la cererea
oricarei persoane, inclusiv a autoritatilor publice si a organelor
administratiei publice; aceste recomandari si avize trebuie sa faca
mentiune despre temeiurile pe care se sprijina si se comunica in copie
si Ministerului Justitiei; atunci cand recomandarea sau avizul este
cerut de lege, se publica in Monitorul Oficial al Romaniei, Partea I;
k) coopereaza cu autoritatile similare de peste hotare in vederea
asistentei mutuale, precum si cu persoanele cu domiciliul sau cu sediul
in strainatate, in scopul apararii drepturilor si libertatilor
fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter
personal;
l) indeplineste alte atributii prevazute de lege.
(4) Intregul personal al autoritatii de supraveghere are obligatia de a
pastra secretul profesional, cu exceptiile prevazute de lege, pe termen
nelimitat, asupra informatiilor confidentiale sau clasificate la care
are sau a avut acces in exercitarea atributiilor de serviciu, inclusiv
dupa incetarea raporturilor juridice cu autoritatea de supraveghere.
Notificarea catre autoritatea de supraveghere
Art. 22.
(1) Operatorul este obligat sa notifice
autoritatii de supraveghere, personal sau prin reprezentant, inainte de
efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari
avand acelasi scop sau scopuri corelate.
(2) Notificarea nu este necesara in cazul in care prelucrarea are ca
unic scop tinerea unui registru destinat prin lege informarii publicului
si deschis spre consultare publicului in general sau oricarei persoane
care probeaza un interes legitim, cu conditia ca prelucrarea sa se
limiteze la datele strict necesare tinerii registrului mentionat.
(3) Notificarea va cuprinde cel putin urmatoarele informatii:
a) numele sau denumirea si domiciliul ori sediul operatorului si ale reprezentantului desemnat al acestuia, daca este cazul;
b) scopul sau scopurile prelucrarii;
c) o descriere a categoriei sau a categoriilor de persoane vizate si a datelor ori a categoriilor de date ce vor fi prelucrate;
d) destinatarii sau categoriile de destinatari carora se intentioneaza sa li se dezvaluie datele;
e) garantiile care insotesc dezvaluirea datelor catre terti;
f) modul in care persoanele vizate sunt informate asupra drepturilor
lor; data estimata pentru incheierea operatiunilor de prelucrare, precum
si destinatia ulterioara a datelor;
g) transferuri de date care se intentioneaza sa fie facute catre alte state;
h) o descriere generala care sa permita aprecierea preliminara a masurilor luate pentru asigurarea securitatii prelucrarii;
i) specificarea oricarui sistem de evidenta a datelor cu caracter
personal, care are legatura cu prelucrarea, precum si a eventualelor
legaturi cu alte prelucrari de date sau cu alte sisteme de evidenta a
datelor cu caracter personal, indiferent daca se efectueaza, respectiv
daca sunt sau nu sunt situate pe teritoriul Romaniei;
j) motivele care justifica aplicarea prevederilor art. 11, art. 12 alin.
(3) sau (4) ori ale art. 13 alin. (5) sau (6), in situatia in care
prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare
sau artistice ori in scopuri statistice, de cercetare istorica sau
stiintifica.
(4) Daca notificarea este incompleta, autoritatea de supraveghere va solicita completarea acesteia.
(5) In limitele puterilor de investigare de care dispune, autoritatea de
supraveghere poate solicita si alte informatii, in special privind
originea datelor, tehnologia de prelucrare automata utilizata si detalii
referitoare la masurile de securitate. Dispozitiile prezentului alineat
nu se aplica in situatia in care prelucrarea datelor se face exclusiv
in scopuri jurnalistice, literare sau artistice.
(6) Daca se intentioneaza ca datele care sunt prelucrate sa fie
transferate in strainatate, notificarea va cuprinde si urmatoarele
elemente:
a) categoriile de date care vor face obiectul transferului;
b) tara de destinatie pentru fiecare categorie de date.
(7) Notificarea este supusa unei taxe care trebuie platita de operator autoritatii de supraveghere.
(8) Autoritatile publice care efectueaza prelucrari de date cu caracter
personal in legatura cu activitatile descrise la art. 2 alin. (5), in
temeiul legii sau in indeplinirea obligatiilor asumate prin acorduri
internationale ratificate, sunt scutite de taxa prevazuta la alin. (7).
Notificarea se va transmite in termen de 15 zile de la intrarea in
vigoare a actului normativ care instituie obligatia respectiva si va
cuprinde numai urmatoarele elemente:
a) denumirea si sediul operatorului;
b) scopul si temeiul legal al prelucrarii;
c) categoriile de date cu caracter personal supuse prelucrarii.
(9) Autoritatea de supraveghere poate stabili si alte situatii in care
notificarea nu este necesara, in afara celei prevazute la alin. (2), sau
situatii in care notificarea se poate efectua intr-o forma
simplificata, precum si continutul acesteia, numai in unul dintre
urmatoarele cazuri:
a) atunci cand, luand in considerare natura datelor destinate sa fie
prelucrate, prelucrarea nu poate afecta, cel putin aparent, drepturile
persoanelor vizate, cu conditia sa precizeze expres scopurile in care se
poate face o asemenea prelucrare, datele sau categoriile de date care
pot fi prelucrate, categoria sau categoriile de persoane vizate,
destinatarii sau categoriile de destinatari carora datele le pot fi
dezvaluite si perioada pentru care datele pot fi stocate;
b) atunci cand prelucrarea se efectueaza in conditiile art. 7 alin. (2) lit. d).
Controlul prealabil
Art. 23.
(1) Autoritatea de supraveghere va stabili
categoriile de operatiuni de prelucrare care sunt susceptibile de a
prezenta riscuri speciale pentru drepturile si libertatile persoanelor.
(2) Daca pe baza notificarii autoritatea de supraveghere constata ca
prelucrarea se incadreaza in una dintre categoriile mentionate la alin.
(1), va dispune obligatoriu efectuarea unui control prealabil inceperii
prelucrarii respective, cu anuntarea operatorului.
(3) Operatorii care nu au fost anuntati in termen de 5 zile de la data
notificarii despre efectuarea unui control prealabil pot incepe
prelucrarea.
(4) In situatia prevazuta la alin. (2) autoritatea de supraveghere este
obligata ca, in termen de cel mult 30 de zile de la data notificarii, sa
aduca la cunostinta operatorului rezultatul controlului efectuat,
precum si decizia emisa in urma acestuia.
Registrul de evidenta a prelucrarilor de date cu caracter personal
Art. 24.
(1) Autoritatea de supraveghere pastreaza un
registru de evidenta a prelucrarilor de date cu caracter personal,
notificate in conformitate cu prevederile art. 22. Registrul va cuprinde
toate informatiile prevazute la art. 22 alin. (3).
(2) Fiecare operator primeste un numar de inregistrare. Numarul de
inregistrare trebuie mentionat pe orice act prin care datele sunt
colectate, stocate sau dezvaluite.
(3) Orice schimbare de natura sa afecteze exactitatea informatiilor
inregistrate va fi comunicata autoritatii de supraveghere in termen de 5
zile. Autoritatea de supraveghere va dispune de indata efectuarea
mentiunilor corespunzatoare in registru.
(4) Activitatile de prelucrare a datelor cu caracter personal, incepute
anterior intrarii in vigoare a prezentei legi, vor fi notificate in
vederea inregistrarii in termen de 15 zile de la data intrarii in
vigoare a prezentei legi.
(5) Registrul de evidenta a prelucrarilor de date cu caracter personal
este deschis spre consultare publicului. Modalitatea de consultare se
stabileste de autoritatea de supraveghere.
Plangeri adresate autoritatii de supraveghere
Art. 25.
(1) In vederea apararii drepturilor prevazute de
prezenta lege persoanele ale caror date cu caracter personal fac
obiectul unei prelucrari care cade sub incidenta prezentei legi pot
inainta plangere catre autoritatea de supraveghere. Plangerea se poate
face direct sau prin reprezentant. Persoana lezata poate imputernici o
asociatie sau o fundatie sa ii reprezinte interesele.
(2) Plangerea catre autoritatea de supraveghere nu poate fi inaintata
daca o cerere in justitie, avand acelasi obiect si aceleasi parti, a
fost introdusa anterior.
(3) In afara cazurilor in care o intarziere ar cauza un prejudiciu
iminent si ireparabil, plangerea catre autoritatea de supraveghere nu
poate fi inaintata mai devreme de 15 zile de la inaintarea unei plangeri
cu acelasi continut catre operator.
(4) In vederea solutionarii plangerii, daca apreciaza ca este necesar,
autoritatea de supraveghere poate audia persoana vizata, operatorul si,
daca este cazul, persoana imputernicita sau asociatia ori fundatia care
reprezinta interesele persoanei vizate. Aceste persoane au dreptul de a
inainta cereri, documente si memorii. Autoritatea de supraveghere poate
dispune efectuarea de expertize.
(5) Daca plangerea este gasita intemeiata, autoritatea de supraveghere
poate decide oricare dintre masurile prevazute la art. 21 alin. (3) lit.
d). Interdictia temporara a prelucrarii poate fi instituita numai pana
la incetarea motivelor care au determinat luarea acestei masuri.
(6) Decizia trebuie motivata si se comunica partilor interesate in termen de 30 de zile de la data primirii plangerii.
(7) Autoritatea de supraveghere poate ordona, daca apreciaza necesar,
suspendarea unora sau tuturor operatiunilor de prelucrare pana la
solutionarea plangerii in conditiile alin. (5).
(8) Autoritatea de supraveghere se poate adresa justitiei pentru
apararea oricaror drepturi garantate de prezenta lege persoanelor
vizate. Instanta competenta este Tribunalul Municipiului Bucuresti.
Cererea de chemare in judecata este scutita de taxa de timbru.
(9) La cererea persoanelor vizate, pentru motive intemeiate, instanta
poate dispune suspendarea prelucrarii pana la solutionarea plangerii de
catre autoritatea de supraveghere.
(10) Prevederile alin. (4)-(9) se aplica in mod corespunzator si in
situatia in care autoritatea de supraveghere afla pe orice alta cale
despre savarsirea unei incalcari a drepturilor recunoscute de prezenta
lege persoanelor vizate.
Contestarea deciziilor autoritatii de supraveghere
Art. 26.
(1) Impotriva oricarei decizii emise de
autoritatea de supraveghere in temeiul dispozitiilor prezentei legi
operatorul sau persoana vizata poate formula contestatie in termen de 15
zile de la comunicare, sub sanctiunea decaderii, la instanta de
contencios administrativ competenta. Cererea se judeca de urgenta, cu
citarea partilor. Solutia este definitiva si irevocabila.
(2) Fac exceptie de la prevederile alin. (1), precum si de la cele ale
art. 23 si 25 prelucrarile de date cu caracter personal, efectuate in
cadrul activitatilor prevazute la art. 2 alin. (5).
Exercitarea atributiilor de investigare
Art. 27.
(1) Autoritatea de supraveghere poate investiga,
din oficiu sau la primirea unei plangeri, orice incalcare a drepturilor
persoanelor vizate, respectiv a obligatiilor care revin operatorilor si,
dupa caz, persoanelor imputernicite, in cadrul efectuarii prelucrarilor
de date cu caracter personal, in scopul apararii drepturilor si
libertatilor fundamentale ale persoanelor vizate.
(2) Atributiile de investigare nu pot fi exercitate de catre autoritatea
de supraveghere in cazul in care o cerere in justitie introdusa
anterior are ca obiect savarsirea aceleiasi incalcari a drepturilor si
opune aceleasi parti.
(3) In exercitarea atributiilor de investigare autoritatea de
supraveghere poate solicita operatorului orice informatii legate de
prelucrarea datelor cu caracter personal si poate verifica orice
document sau inregistrare referitoare la prelucrarea de date cu caracter
personal.
(4) Secretul de stat si secretul profesional nu pot fi invocate pentru a
impiedica exercitarea atributiilor acordate prin prezenta lege
autoritatii de supraveghere. Atunci cand este invocata protectia
secretului de stat sau a secretului profesional, autoritatea de
supraveghere are obligatia de a pastra secretul.
(5) Daca exercitarea atributiei de investigare a autoritatii de
supraveghere are ca obiect o prelucrare de date cu caracter personal,
efectuata de autoritatile publice in legatura cu activitatile descrise
la art. 2 alin. (5) pentru un caz concret, este necesara obtinerea
acordului prealabil al procurorului sau al instantei competente.
Norme de conduita
Art. 28.
(1) Asociatiile profesionale au obligatia de a
elabora si de a supune spre avizare autoritatii de supraveghere coduri
de conduita care sa contina norme adecvate pentru protectia drepturilor
persoanelor ale caror date cu caracter personal pot fi prelucrate de
catre membrii acestora.
(2) Normele de conduita trebuie sa prevada masuri si proceduri care sa
asigure un nivel satisfacator de protectie, tinand seama de natura
datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune
masuri si proceduri specifice pentru perioada in care normele de
conduita la care s-a facut referire anterior nu sunt adoptate.
CAPITOLUL VII
Transferul in strainatate al datelor cu caracter personal
Conditiile transferului in strainatate al datelor cu caracter personal
Art. 29.
(1) Transferul catre un alt stat de date cu
caracter personal care fac obiectul unei prelucrari sau sunt destinate
sa fie prelucrate dupa transfer poate avea loc numai in conditiile in
care nu se incalca legea romana, iar statul catre care se intentioneaza
transferul asigura un nivel de protectie adecvat.
(2) Nivelul de protectie va fi apreciat de catre autoritatea de
supraveghere, tinand seama de totalitatea imprejurarilor in care se
realizeaza transferul de date, in special avand in vedere natura datelor
transmise, scopul prelucrarii si durata propusa pentru prelucrare,
statul de origine si statul de destinatie finala, precum si legislatia
statului solicitant. In cazul in care autoritatea de supraveghere
constata ca nivelul de protectie oferit de statul de destinatie este
nesatisfacator, poate dispune interzicerea transferului de date.
(3) In toate situatiile transferul de date cu caracter personal catre un
alt stat va face obiectul unei notificari prealabile a autoritatii de
supraveghere.
(4) Autoritatea de supraveghere poate autoriza transferul de date cu
caracter personal catre un stat a carui legislatie nu prevede un nivel
de protectie cel putin egal cu cel oferit de legea romana atunci cand
operatorul ofera garantii suficiente cu privire la protectia drepturilor
fundamentale ale persoanelor. Aceste garantii trebuie sa fie stabilite
prin contracte incheiate intre operatori si persoanele fizice sau
juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile alin. (2), (3) si (4) nu se aplica daca transferul
datelor se face in baza prevederilor unei legi speciale sau ale unui
acord international ratificat de Romania, in special daca transferul se
face in scopul prevenirii, cercetarii sau reprimarii unei infractiuni.
(6) Prevederile prezentului articol nu se aplica atunci cand prelucrarea
datelor se face exclusiv in scopuri jurnalistice, literare sau
artistice, daca datele au fost facute publice in mod manifest de catre
persoana vizata sau sunt strans legate de calitatea de persoana publica a
persoanei vizate ori de caracterul public al faptelor in care este
implicata.
Situatii in care transferul este intotdeauna permis
Art. 30.
Transferul de date este intotdeauna permis in urmatoarele situatii:
a) cand persoana vizata si-a dat in mod explicit consimtamantul pentru
efectuarea transferului; in cazul in care transferul de date se face in
legatura cu oricare dintre datele prevazute la art. 7, 8 si 10,
consimtamantul trebuie dat in scris;
b) cand este necesar pentru executarea unui contract incheiat intre
persoana vizata si operator sau pentru executarea unor masuri
precontractuale dispuse la cererea pesoanei vizate;
c) cand este necesar pentru incheierea sau pentru executarea unui
contract incheiat ori care se va incheia, in interesul persoanei vizate,
intre operator si un tert;
d) cand este necesar pentru satisfacerea unui interes public major,
precum apararea nationala, ordinea publica sau siguranta nationala,
pentru buna desfasurare a procesului penal ori pentru constatarea,
exercitarea sau apararea unui drept in justitie, cu conditia ca datele
sa fie prelucrate in legatura cu acest scop si nu mai mult timp decat
este necesar;
e) cand este necesar pentru a proteja viata, integritatea fizica sau sanatatea persoanei vizate;
f) cand intervine ca urmare a unei cereri anterioare de acces la
documente oficiale care sunt publice ori a unei cereri privind
informatii care pot fi obtinute din registre sau prin orice alte
documente accesibile publicului.
CAPITOLUL VIII
Contraventii si sanctiuni
Omisiunea de a notifica si notificarea cu rea-credinta
Art. 31.
Omisiunea de a efectua notificarea in conditiile
art. 22 sau ale art. 29 alin. (3) in situatiile in care aceasta
notificare este obligatorie, precum si notificarea incompleta sau care
contine informatii false constituie contraventii, daca nu sunt savarsite
in astfel de conditii incat sa constituie infractiuni, si se
sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei.
Prelucrarea nelegala a datelor cu caracter personal
Art. 32.
Prelucrarea datelor cu caracter personal de catre
un operator sau de o persoana imputernicita de acesta, cu incalcarea
prevederilor art. 4-10 sau cu nesocotirea drepturilor prevazute la art.
12-15 sau la art. 17, constituie contraventie, daca nu este savarsita in
astfel de conditii incat sa constituie infractiune, si se sanctioneaza
cu amenda de la 10.000.000 lei la 250.000.000 lei.
Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate
Art. 33.
Neindeplinirea obligatiilor privind aplicarea
masurilor de securitate si de pastrare a confidentialitatii
prelucrarilor, prevazute la art. 19 si 20, constituie contraventie, daca
nu este savarsita in astfel de conditii incat sa constituie
infractiune, si se sanctioneaza cu amenda de la 15.000.000 lei la
500.000.000 lei.
Refuzul de a furniza informatii
Art. 34.
Refuzul de a furniza autoritatii de supraveghere
informatiile sau documentele cerute de aceasta in exercitarea
atributiilor de investigare prevazute la art. 27 constituie
contraventie, daca nu este savarsita in astfel de conditii incat sa
constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000
lei la 150.000.000 lei.
Constatarea contraventiilor si aplicarea sanctiunilor
Art. 35.
(1) Constatarea contraventiilor si aplicarea
sanctiunilor se efectueaza de catre autoritatea de supraveghere, care
poate delega aceste atributii unor persoane recrutate din randul
personalului sau, precum si de reprezentanti imputerniciti ai organelor
cu atributii de supraveghere si control, abilitate potrivit legii.
(2) Dispozitiile prezentei legi referitoare la contraventii se
completeaza cu prevederile Ordonantei Guvernului nr. 2/2001 privind
regimul juridic al contraventiilor, in masura in care prezenta lege nu
dispune altfel.
(3) Impotriva proceselor-verbale de constatare si sanctionare se poate
face plangere la sectiile de contencios administrativ ale tribunalelor.
CAPITOLUL IX
Dispozitii finale
Intrarea in vigoare
Art. 36.
Prezenta lege intra in vigoare la data publicarii
ei in Monitorul Oficial al Romaniei, Partea I, si se pune in aplicare
in termen de 3 luni de la intrarea sa in vigoare.
Aceasta lege a fost adoptata de Senat in sedinta din 15 octombrie 2001,
cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.
PRESEDINTELE SENATULUI
NICOLAE VACAROIU
Aceasta lege a fost adoptata de Camera Deputatilor in sedinta din 22
octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din
Constitutia Romaniei.
PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU
Bucuresti, 21 noiembrie 2001
(publicata in Monitorul Oficial nr. 790 din 12 decembrie 2001)
| |
© 2009~2085
OSCII-Lab
Home
Popescu-Colibasi