Prostie
cu cartele preplătite și cu informații personale date unor firme care ar trebui
să fie înregistrate la o autoritate….independentă!
Sebastian
Ghiţă propune ca, la cumpărarea unei cartelă pre-plătite, să se prezinte mai
multe informaţii personale. Aşa, dacă, ulterior, un judecător decide
interceptarea numărului telefonic asociat cartelei, serviciile secrete pot
identifica deţinătorul ei. Realitatea.NET DIXIT
Pentru
cei care nu știu, în România există o legislație strictă în domeniul informațiilor
oferite benevol sau de obligație. Mai mult, din experiența mai multor
concursuri, în regulamente se scrie clar: firma X e înregistrată la Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal, autoritate cu adresa: http://www.dataprotection.ro/. Logic
este ca insul care îți vinde cartela să aibă societatea înregistrată la astfel
de autoritate. Asta înseamnă ca mii de firme care comercializează, în chioșcuri,
malluri sau magazine proprii astfel de cartele preplătite să dea fuga la
autoritatea asta și să se înregistreze! Poate că Ghiță știe chestia asta, poate
că vreo firmă de-a lui se ocupă chiar cu așa ceva, poate că el va vinde
calculatoare sau servere băieților cu
ochi albaștri, că tot e insul la Comisia de supraveghere SRI, cine știe ce alte
afaceri dedicate poate naște o astfel de propunere. Ceea ce vă supunem atenției
este legislația, pe care o găsiți mai jos și ceea ce se scrie pe siteul oficial
despre ANSPDCP:
Statutul
de autoritate independentă este consacrat chiar la primul articol al acestui
act normativ, unde se precizează că Autoritatea Naţională de Supraveghere a
Prelucrării Datelor cu Caracter Personal este o autoritate publică autonomă
şi independentă faţă de orice autoritate a administraţiei publice, ca şi faţă
de orice persoană fizică sau juridică din domeniul privat. Potrivit legii,
Autoritatea nu poate fi supusă nici unui mandat imperativ sau reprezentativ şi
nu poate fi obligată să se supună instrucţiunilor sau dispoziţiilor altei
autorităţi publice sau entităţi de drept privat. Autoritatea are drept obiectiv
apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în
special a dreptului la viaţă intimă, familială şi privată, în legătură cu
prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter
Personal îşi desfăşoară activitatea în condiţii de completă independenţă şi
imparţialitate. Autoritatea monitorizează şi controlează sub aspectul
legalităţii prelucrările de date cu caracter personal care cad sub incidenţa
Legii nr. 677/2001.
Legea
nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu
caracter personal
si
libera circulatie a acestor date
(publicata
in Monitorul Oficial nr. 790 din 12 decembrie 2001)
Parlamentul
Romaniei adopta prezenta lege
CAPITOLUL
I
Dispozitii
generale
Scop
Art.
1.
(1)
Prezenta lege are ca scop garantarea si protejarea drepturilor si libertatilor
fundamentale ale persoanelor fizice, in special a dreptului la viata intima,
familiala si privata, cu privire la prelucrarea datelor cu caracter personal.
(2)
Exercitarea drepturilor prevazute in prezenta lege nu poate fi restransa decat
in cazuri expres si limitativ prevazute de lege.
Domeniu
de aplicare
Art.
2.
(1)
Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate,
in tot sau in parte, prin mijloace automate, precum si prelucrarii prin alte
mijloace decat cele automate a datelor cu caracter personal care fac parte
dintr-un sistem de evidenta sau care sunt destinate sa fie incluse intr-un
asemenea sistem.
(2)
Prezenta lege se aplica:
a)
prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor
desfasurate de operatori stabiliti in Romania;
b)
prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor
desfasurate de misiunile diplomatice sau de oficiile consulare ale Romaniei;
c)
prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor
desfasurate de operatori care nu sunt stabiliti in Romania, prin utilizarea de
mijloace de orice natura situate pe teritoriul Romaniei, cu exceptia cazului in
care aceste mijloace nu sunt utilizate decat in scopul tranzitarii pe
teritoriul Romaniei a datelor cu caracter personal care fac obiectul
prelucrarilor respective.
(3)
In cazul prevazut la alin. (2) lit. c) operatorul isi va desemna un
reprezentant care trebuie sa fie o persoana stabilita in Romania. Prevederile
prezentei legi aplicabile operatorului sunt aplicabile si reprezentantului
acestuia, fara a aduce atingere posibilitatii de a introduce actiune in
justitie direct impotriva operatorului.
(4)
Prezenta lege se aplica prelucrarilor de date cu caracter personal efectuate de
persoane fizice sau juridice, romane ori straine, de drept public sau de drept
privat, indiferent daca au loc in sectorul public sau in sectorul privat.
(5)
In limitele prevazute de prezenta lege, aceasta se aplica si prelucrarilor si
transferului de date cu caracter personal, efectuate in cadrul activitatilor de
prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii
publice, precum si al altor activitati desfasurate in domeniul dreptului penal,
in limitele si cu restrictiile stabilite de lege.
(6)
Prezenta lege nu se aplica prelucrarilor de date cu caracter personal,
efectuate de persoane fizice exclusiv pentru uzul lor personal, daca datele in
cauza nu sunt destinate a fi dezvaluite.
(7)
Prezenta lege nu se aplica prelucrarilor si transferului de date cu caracter
personal, efectuate in cadrul activitatilor in domeniul apararii nationale si
sigurantei nationale, desfasurate in limitele si cu restrictiile stabilite de
lege.
(8)
Prevederile prezentei legi nu aduc atingere obligatiilor asumate de Romania
prin instrumente juridice ratificate.
Definitii
Art.
3.
In
intelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:
a)
date cu caracter personal - orice informatii referitoare la o persoana fizica
identificata sau identificabila; o persoana identificabila este acea persoana
care poate fi identificata, direct sau indirect, in mod particular prin
referire la un numar de identificare ori la unul sau la mai multi factori
specifici identitatii sale fizice, fiziologice, psihice, economice, culturale
sau sociale;
b)
prelucrarea datelor cu caracter personal - orice operatiune sau set de
operatiuni care se efectueaza asupra datelor cu caracter personal, prin
mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea,
organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea,
utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice
alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;
c)
stocarea - pastrarea pe orice fel de suport a datelor cu caracter personal
culese;
d)
sistem de evidenta a datelor cu caracter personal - orice structura organizata
de date cu caracter personal, accesibila potrivit unor criterii determinate,
indiferent daca aceasta structura este organizata in mod centralizat ori
descentralizat sau este repartizata dupa criterii functionale ori geografice;
e)
operator - orice persoana fizica sau juridica, de drept privat ori de drept
public, inclusiv autoritatile publice, institutiile si structurile teritoriale
ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu
caracter personal; daca scopul si mijloacele de prelucrare a datelor cu
caracter personal sunt determinate printr-un act normativ sau in baza unui act
normativ, operator este persoana fizica sau juridica, de drept public ori de
drept privat, care este desemnata ca operator prin acel act normativ sau in
baza acelui act normativ;
f)
persoana imputernicita de catre operator - o persoana fizica sau juridica, de
drept privat ori de drept public, inclusiv autoritatile publice, institutiile
si structurile teritoriale ale acestora, care prelucreaza date cu caracter
personal pe seama operatorului;
g)
tert - orice persoana fizica sau juridica, de drept privat ori de drept public,
inclusiv autoritatile publice, institutiile si structurile teritoriale ale
acestora, alta decat persoana vizata, operatorul ori persoana imputernicita sau
persoanele care, sub autoritatea directa a operatorului sau a persoanei
imputernicite, sunt autorizate sa prelucreze date;
h)
destinatar - orice persoana fizica sau juridica, de drept privat ori de drept
public, inclusiv autoritatile publice, institutiile si structurile teritoriale
ale acestora, careia ii sunt dezvaluite date, indiferent daca este sau nu tert;
autoritatile publice carora li se comunica date in cadrul unei competente
speciale de ancheta nu vor fi considerate destinatari;
i)
date anonime - date care, datorita originii sau modalitatii specifice de
prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.
CAPITOLUL
II
Reguli
generale privind prelucrarea datelor cu caracter personal
Caracteristicile
datelor cu caracter personal in cadrul prelucrarii
Art.
4.
(1)
Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa
fie:
a)
prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in
vigoare;
b)
colectate in scopuri determinate, explicite si legitime; prelucrarea ulterioara
a datelor cu caracter personal in scopuri statistice, de cercetare istorica sau
stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se
efectueaza cu respectarea dispozitiilor prezentei legi, inclusiv a celor care
privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu
respectarea garantiilor privind prelucrarea datelor cu caracter personal,
prevazute de normele care reglementeaza activitatea statistica ori cercetarea
istorica sau stiintifica;
c)
adecvate, pertinente si neexcesive prin raportare la scopul in care sunt
colectate si ulterior prelucrate;
d)
exacte si, daca este cazul, actualizate; in acest scop se vor lua masurile
necesare pentru ca datele inexacte sau incomplete din punct de vedere al
scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate,
sa fie sterse sau rectificate;
e)
stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe
durata necesara realizarii scopurilor in care datele sunt colectate si in care
vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea
mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va
face cu respectarea garantiilor privind prelucrarea datelor cu caracter
personal, prevazute in normele care reglementeaza aceste domenii, si numai
pentru perioada necesara realizarii acestor scopuri.
(2)
Operatorii au obligatia sa respecte prevederile alin. (1) si sa asigure
indeplinirea acestor prevederi de catre persoanele imputernicite.
Conditii
de legitimitate privind prelucrarea datelor
Art.
5.
(1)
Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care
vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10,
poate fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod
expres si neechivoc pentru acea prelucrare.
(2)
Consimtamantul persoanei vizate nu este cerut in urmatoarele cazuri:
a)
cand prelucrarea este necesara in vederea executarii unui contract sau
antecontract la care persoana vizata este parte ori in vederea luarii unor
masuri, la cererea acesteia, inaintea incheierii unui contract sau
antecontract;
b)
cand prelucrarea este necesara in vederea protejarii vietii, integritatii
fizice sau sanatatii persoanei vizate ori a unei alte persoane amenintate;
c)
cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a
operatorului;
d)
cand prelucrarea este necesara in vederea aducerii la indeplinire a unor masuri
de interes public sau care vizeaza exercitarea prerogativelor de autoritate
publica cu care este investit operatorul sau tertul caruia ii sunt dezvaluite
datele;
e)
cand prelucrarea este necesara in vederea realizarii unui interes legitim al
operatorului sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca
acest interes sa nu prejudicieze interesul sau drepturile si libertatile
fundamentale ale persoanei vizate;
f)
cand prelucrarea priveste date obtinute din documente accesibile publicului,
conform legii;
g)
cand prelucrarea este facuta exclusiv in scopuri statistice, de cercetare
istorica sau stiintifica, iar datele raman anonime pe toata durata prelucrarii.
(3)
Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza
obligatia autoritatilor publice de a respecta si de a ocroti viata intima,
familiala si privata.
Incheierea
operatiunilor de prelucrare
Art.
6.
(1)
La incheierea operatiunilor de prelucrare, daca persoana vizata nu si-a dat in
mod expres si neechivoc consimtamantul pentru o alta destinatie sau pentru o
prelucrare ulterioara, datele cu caracter personal vor fi:
a)
distruse;
b)
transferate unui alt operator, cu conditia ca operatorul initial sa garanteze
faptul ca prelucrarile ulterioare au scopuri similare celor in care s-a facut
prelucrarea initiala;
c)
transformate in date anonime si stocate exclusiv in scopuri statistice, de
cercetare istorica sau stiintifica.
(2)
In cazul operatiunilor de prelucrare efectuate in conditiile prevazute la art.
5 alin. (2) lit. c) sau d), in cadrul activitatilor descrise la art. 2 alin.
(5), operatorul poate stoca datele cu caracter personal pe perioada necesara
realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri
corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea
lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.
CAPITOLUL
III
Reguli
speciale privind prelucrarea datelor cu caracter personal
Prelucrarea
unor categorii speciale de date
Art.
7.
(1)
Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica,
de convingerile politice, religioase, filozofice sau de natura similara, de
apartenenta sindicala, precum si a datelor cu caracter personal privind starea
de sanatate sau viata sexuala este interzisa.
(2)
Prevederile alin. (1) nu se aplica in urmatoarele cazuri:
a)
cand persoana vizata si-a dat in mod expres consimtamantul pentru o astfel de
prelucrare;
b)
cand prelucrarea este necesara in scopul respectarii obligatiilor sau
drepturilor specifice ale operatorului in domeniul dreptului muncii, cu
respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert
a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a
operatorului in acest sens sau daca persoana vizata a consimtit expres la
aceasta dezvaluire;
c)
cand prelucrarea este necesara pentru protectia vietii, integritatii fizice sau
a sanatatii persoanei vizate ori a altei persoane, in cazul in care persoana
vizata se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
d)
cand prelucrarea este efectuata in cadrul activitatilor sale legitime de catre
o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si
cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana
vizata sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod
regulat, relatii care privesc specificul activitatii organizatiei si ca datele
sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
e)
cand prelucrarea se refera la date facute publice in mod manifest de catre
persoana vizata;
f)
cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea
unui drept in justitie;
g)
cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire
a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente
medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate
care actioneaza in interesul persoanei vizate, cu conditia ca prelucrarea
datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru
medical supus secretului profesional sau de catre ori sub supravegherea unei
alte persoane supuse unei obligatii echivalente in ceea ce priveste secretul;
h)
cand legea prevede in mod expres aceasta in scopul protejarii unui interes
public important, cu conditia ca prelucrarea sa se efectueze cu respectarea
drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta
lege.
(3)
Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza
obligatia autoritatilor publice de a respecta si de a ocroti viata intima,
familiala si privata.
(4)
Autoritatea de supraveghere poate dispune, din motive intemeiate, interzicerea
efectuarii unei prelucrari de date din categoriile prevazute la alin. (1),
chiar daca persoana vizata si-a dat in scris si in mod neechivoc
consimtamantul, iar acest consimtamant nu a fost retras, cu conditia ca
interdictia prevazuta la alin. (1) sa nu fie inlaturata prin unul dintre
cazurile la care se refera alin. (2) lit. b)-g).
Prelucrarea
datelor cu caracter personal avand functie de identificare
Art.
8.
(1)
Prelucrarea codului numeric personal sau a altor date cu caracter personal
avand o functie de identificare de aplicabilitate generala poate fi efectuata
numai daca:
a)
persoana vizata si-a dat in mod expres consimtamantul; sau
b)
prelucrarea este prevazuta in mod expres de o dispozitie legala.
(2)
Autoritatea de supraveghere poate stabili si alte cazuri in care se poate
efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia
instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor
vizate.
Prelucrarea
datelor cu caracter personal privind starea de sanatate
Art.
9.
(1)
In afara cazurilor prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1)
nu se aplica in privinta prelucrarii datelor privind starea de sanatate in
urmatoarele cazuri:
a)
daca prelucrarea este necesara pentru protectia sanatatii publice;
b)
daca prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru
prevenirea savarsirii unei fapte penale sau pentru impiedicarea producerii
rezultatului unei asemenea fapte ori pentru inlaturarea urmarilor
prejudiciabile ale unei asemenea fapte.
(2)
Prelucrarea datelor privind starea de sanatate poate fi efectuata numai de
catre ori sub supravegherea unui cadru medical, cu conditia respectarii
secretului profesional, cu exceptia situatiei in care persoana vizata si-a dat
in scris si in mod neechivoc consimtamantul atata timp cat acest consimtamant
nu a fost retras, precum si cu exceptia situatiei in care prelucrarea este
necesara pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii
unei fapte penale, pentru impiedicarea producerii rezultatului unei asemenea
fapte sau pentru inlaturarea urmarilor sale prejudiciabile.
(3)
Cadrele medicale, institutiile de sanatate si personalul medical al acestora
pot prelucra date cu caracter personal referitoare la starea de sanatate, fara
autorizatia autoritatii de supraveghere, numai daca prelucrarea este necesara
pentru protejarea vietii, integritatii fizice sau sanatatii persoanei vizate.
Cand scopurile mentionate se refera la alte persoane sau la public in general
si persoana vizata nu si-a dat consimtamantul in scris si in mod neechivoc,
trebuie ceruta si obtinuta in prealabil autorizatia autoritatii de
supraveghere. Prelucrarea datelor cu caracter personal in afara limitelor
prevazute in autorizatie este interzisa.
(4)
Cu exceptia motivelor de urgenta, autorizatia prevazuta la alin. (3) poate fi
acordata numai dupa ce a fost consultat Colegiul Medicilor din Romania.
(5)
Datele cu caracter personal privind starea de sanatate pot fi colectate numai
de la persoana vizata. Prin exceptie, aceste date pot fi colectate din alte
surse numai in masura in care este necesar pentru a nu compromite scopurile
prelucrarii, iar persoana vizata nu vrea ori nu le poate furniza.
Prelucrarea
datelor cu caracter personal referitoare la fapte penale sau contraventii
Art.
10.
(1)
Prelucrarea datelor cu caracter personal referitoare la savarsirea de
infractiuni de catre persoana vizata ori la condamnari penale, masuri de
siguranta sau sanctiuni administrative ori contraventionale, aplicate persoanei
vizate, poate fi efectuata numai de catre sau sub controlul autoritatilor
publice, in limitele puterilor ce le sunt conferite prin lege si in conditiile
stabilite de legile speciale care reglementeaza aceste materii.
(2)
Autoritatea de supraveghere poate stabili si alte cazuri in care se poate
efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia
instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor
vizate.
(3)
Un registru complet al condamnarilor penale poate fi tinut numai sub controlul
unei autoritati publice, in limitele puterilor ce ii sunt conferite prin lege.
Exceptii
Art.
11.
Prevederile
art. 5, 6, 7 si 10 nu se aplica in situatia in care prelucrarea datelor se face
exclusiv in scopuri jurnalistice, literare sau artistice, daca prelucrarea
priveste date cu caracter personal care au fost facute publice in mod manifest
de catre persoana vizata sau care sunt strans legate de calitatea de persoana
publica a persoanei vizate ori de caracterul public al faptelor in care este
implicata.
CAPITOLUL
IV
Drepturile
persoanei vizate in contextul prelucrarii datelor cu caracter personal
Informarea
persoanei vizate
Art.
12.
(1)
In cazul in care datele cu caracter personal sunt obtinute direct de la
persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel
putin urmatoarele informatii, cu exceptia cazului in care aceasta persoana
poseda deja informatiile respective:
a)
identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b)
scopul in care se face prelucrarea datelor;
c)
informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai
datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele
refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege
pentru persoana vizata, in special a dreptului de acces, de interventie asupra
datelor si de opozitie, precum si conditiile in care pot fi exercitate;
d)
orice alte informatii a caror furnizare este impusa prin dispozitie a
autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(2)
In cazul in care datele nu sunt obtinute direct de la persoana vizata,
operatorul este obligat ca, in momentul colectarii datelor sau, daca se
intentioneaza dezvaluirea acestora catre terti, cel mai tarziu pana in momentul
primei dezvaluiri, sa furnizeze persoanei vizate cel putin urmatoarele
informatii, cu exceptia cazului in care persoana vizata poseda deja
informatiile respective:
a)
identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b)
scopul in care se face prelucrarea datelor;
c)
informatii suplimentare, precum: categoriile de date vizate, destinatarii sau
categoriile de destinatari ai datelor, existenta drepturilor prevazute de
prezenta lege pentru persoana vizata, in special a dreptului de acces, de
interventie asupra datelor si de opozitie, precum si conditiile in care pot fi
exercitate;
d)
orice alte informatii a caror furnizare este impusa prin dispozitie a
autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(3)
Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor se
efectueaza exclusiv in scopuri jurnalistice, literare sau artistice, daca
aplicarea acestora ar da indicii asupra surselor de informare.
(4)
Prevederile alin. (2) nu se aplica in cazul in care prelucrarea datelor se face
in scopuri statistice, de cercetare istorica sau stiintifica, ori in orice alte
situatii in care furnizarea unor asemenea informatii se dovedeste imposibila
sau ar implica un efort disproportionat fata de interesul legitim care ar putea
fi lezat, precum si in situatiile in care inregistrarea sau dezvaluirea datelor
este expres prevazuta de lege.
Dreptul
de acces la date
Art.
13.
(1)
Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in
mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o
privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, in
situatia in care prelucreaza date cu caracter personal care privesc
solicitantul, sa comunice acestuia, impreuna cu confirmarea, cel putin
urmatoarele:
a)
informatii referitoare la scopurile prelucrarii, categoriile de date avute in
vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite
datele;
b)
comunicarea intr-o forma inteligibila a datelor care fac obiectul prelucrarii,
precum si a oricarei informatii disponibile cu privire la originea datelor;
c)
informatii asupra principiilor de functionare a mecanismului prin care se
efectueaza orice prelucrare automata a datelor care vizeaza persoana
respectiva;
d)
informatii privind existenta dreptului de interventie asupra datelor si a
dreptului de opozitie, precum si conditiile in care pot fi exercitate;
e)
informatii asupra posibilitatii de a consulta registrul de evidenta a
prelucrarilor de date cu caracter personal, prevazut la art. 24, de a inainta
plangere catre autoritatea de supraveghere, precum si de a se adresa instantei
pentru atacarea deciziilor operatorului, in conformitate cu dispozitiile
prezentei legi.
(2)
Persoana vizata poate solicita de la operator informatiile prevazute la alin.
(1), printr-o cerere intocmita in forma scrisa, datata si semnata. In cerere
solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o
anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu
de corespondenta care sa asigure ca predarea i se va face numai personal.
(3)
Operatorul este obligat sa comunice informatiile solicitate, in termen de 15
zile de la data primirii cererii, cu respectarea eventualei optiuni a
solicitantului exprimate potrivit alin. (2).
(4)
In cazul datelor cu caracter personal legate de starea de sanatate, cererea
prevazuta la alin. (2) poate fi introdusa de persoana vizata fie direct, fie
prin intermediul unui cadru medical care va indica in cerere persoana in numele
careia este introdusa. La cererea operatorului sau a persoanei vizate
comunicarea prevazuta la alin. (3) poate fi facuta prin intermediul unui cadru
medical desemnat de persoana vizata.
(5)
In cazul in care datele cu caracter personal legate de starea de sanatate sunt
prelucrate in scop de cercetare stiintifica, daca nu exista, cel putin aparent,
riscul de a se aduce atingere drepturilor persoanei vizate si daca datele nu
sunt utilizate pentru a lua decizii sau masuri fata de o anumita persoana,
comunicarea prevazuta la alin. (3) se poate face si intr-un termen mai mare
decat cel prevazut la acel alineat, in masura in care aceasta ar putea afecta
bunul mers sau rezultatele cercetarii, si nu mai tarziu de momentul in care
cercetarea este incheiata. In acest caz persoana vizata trebuie sa isi fi dat
in mod expres si neechivoc consimtamantul ca datele sa fie prelucrate in scop
de cercetare stiintifica, precum si asupra posibilei amanari a comunicarii
prevazute la alin. (3) din acest motiv.
(6)
Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor se
efectueaza exclusiv in scopuri jurnalistice, literare sau artistice, daca
aplicarea acestora ar da indicii asupra surselor de informare.
Dreptul
de interventie asupra datelor
Art.
14.
(1)
Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in
mod gratuit:
a)
dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror
prelucrare nu este conforma prezentei legi, in special a datelor incomplete sau
inexacte;
b)
dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este
conforma prezentei legi;
c)
notificarea catre tertii carora le-au fost dezvaluite datele a oricarei
operatiuni efectuate conform lit. a)
sau
b), daca aceasta notificare nu se dovedeste imposibila sau nu presupune un
efort disproportionat fata de interesul legitim care ar putea fi lezat. (2)
Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata va inainta
operatorului o cerere intocmita in forma scrisa, datata si semnata. In cerere
solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o
anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu
de corespondenta care sa asigure ca predarea i se va face numai personal.
(3)
Operatorul este obligat sa comunice masurile luate in temeiul alin. (1), precum
si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu
caracter personal referitoare la persoana vizata, in termen de 15 zile de la
data primirii cererii, cu respectarea eventualei optiuni a solicitantului
exprimate potrivit alin. (2).
Dreptul
de opozitie
Art.
15.
(1)
Persoana vizata are dreptul de a se opune in orice moment, din motive
intemeiate si legitime legate de situatia sa particulara, ca date care o
vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista
dispozitii legale contrare. In caz de opozitie justificata prelucrarea nu mai
poate viza datele in cauza.
(2)
Persoana vizata are dreptul de a se opune in orice moment, in mod gratuit si
fara nici o justificare, ca datele care o vizeaza sa fie prelucrate in scop de
marketing direct, in numele operatorului sau al unui tert, sau sa fie
dezvaluite unor terti intr-un asemenea scop.
(3)
In vederea exercitarii drepturilor prevazute la alin. (1) si (2) persoana
vizata va inainta operatorului o cerere intocmita in forma scrisa, datata si
semnata. In cerere solicitantul poate arata daca doreste ca informatiile sa ii
fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau
printr-un serviciu de corespondenta care sa asigure ca predarea i se va face
numai personal.
(4)
Operatorul este obligat sa comunice persoanei vizate masurile luate in temeiul
alin. (1) sau (2), precum si, daca este cazul, numele tertului caruia i-au fost
dezvaluite datele cu caracter personal referitoare la persoana vizata, in
termen de 15 zile de la data primirii cererii, cu respectarea eventualei
optiuni a solicitantului exprimate potrivit alin. (3).
Exceptii
Art.
16.
(1)
Prevederile art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica in
cazul activitatilor prevazute la art. 2 alin. (5), daca prin aplicarea acestora
este prejudiciata eficienta actiunii sau obiectivul urmarit in indeplinirea
atributiilor legale ale autoritatii publice.
(2)
Prevederile alin. (1) sunt aplicabile strict pentru perioada necesara atingerii
obiectivului urmarit prin desfasurarea activitatilor mentionate la art. 2 alin.
(5).
(3)
Dupa incetarea situatiei care justifica aplicarea alin. (1) si (2) operatorii
care desfasoara activitatile prevazute la art. 2 alin. (5) vor lua masurile
necesare pentru a asigura respectarea drepturilor persoanelor vizate.
(4)
Autoritatile publice tin evidenta unor astfel de cazuri si informeaza periodic
autoritatea de supraveghere despre modul de solutionare a lor.
Dreptul
de a nu fi supus unei decizii individuale
Art.
17.
(1)
Orice persoana are dreptul de a cere si de a obtine:
a)
retragerea sau anularea oricarei decizii care produce efecte juridice in
privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu caracter
personal, efectuata prin mijloace automate, destinata sa evalueze unele aspecte
ale personalitatii sale, precum competenta profesionala, credibilitatea,
comportamentul sau ori alte asemenea aspecte;
b)
reevaluarea oricarei alte decizii luate in privinta sa, care o afecteaza in mod
semnificativ, daca decizia a fost adoptata exclusiv pe baza unei prelucrari de
date care intruneste conditiile prevazute la lit. a).
(2)
Respectandu-se celelalte garantii prevazute de prezenta lege, o persoana poate
fi supusa unei decizii de natura celei vizate la alin. (1), numai in
urmatoarele situatii:
a)
decizia este luata in cadrul incheierii sau executarii unui contract, cu
conditia ca cererea de incheiere sau de executare a contractului, introdusa de
persoana vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum
posibilitatea de a-si sustine punctul de vedere, sa garanteze apararea
propriului interes legitim;
b)
decizia este autorizata de o lege care precizeaza masurile ce garanteaza
apararea interesului legitim al persoanei vizate.
Dreptul
de a se adresa justitiei
Art.
18.
(1)
Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii
de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru
apararea oricaror drepturi garantate de prezenta lege, care le-au fost
incalcate.
(2)
Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu
caracter personal, efectuata ilegal, se poate adresa instantei competente
pentru repararea acestuia.
(3)
Instanta competenta este cea in a carei raza teritoriala domiciliaza
reclamantul. Cererea de chemare in judecata este scutita de taxa de timbru.
CAPITOLUL
V
Confidentialitatea
si securitatea prelucrarilor
Confidentialitatea
prelucrarilor
Art.
19.
Orice
persoana care actioneaza sub autoritatea operatorului sau a persoanei
imputernicite, inclusiv persoana imputernicita, care are acces la date cu
caracter personal, nu poate sa le prelucreze decat pe baza instructiunilor
operatorului, cu exceptia cazului in care actioneaza in temeiul unei obligatii
legale.
Securitatea
prelucrarilor
Art.
20.
(1)
Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate
pentru protejarea datelor cu caracter personal impotriva distrugerii
accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului
neautorizat, in special daca prelucrarea respectiva comporta transmisii de date
in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare
ilegala.
(2)
Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii utilizate in
procesul de prelucrare si de costuri, un nivel de securitate adecvat in ceea ce
priveste riscurile pe care le reprezinta prelucrarea, precum si in ceea ce
priveste natura datelor care trebuie protejate. Cerintele minime de securitate
vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic,
corespunzator progresului tehnic si experientei acumulate.
(3)
Operatorul, atunci cand desemneaza o persoana imputernicita, este obligat sa
aleaga o persoana care prezinta suficiente garantii in ceea ce priveste
masurile de securitate tehnica si organizatorice cu privire la prelucrarile ce
vor fi efectuate, precum si sa vegheze la respectarea acestor masuri de catre
persoana desemnata.
(4)
Autoritatea de supraveghere poate decide, in cazuri individuale, asupra
obligarii operatorului la adoptarea unor masuri suplimentare de securitate, cu
exceptia celor care privesc garantarea securitatii serviciilor de
telecomunicatii.
(5)
Efectuarea prelucrarilor prin persoane imputernicite trebuie sa se desfasoare
in baza unui contract incheiat in forma scrisa, care va cuprinde in mod
obligatoriu:
a)
obligatia persoanei imputernicite de a actiona doar in baza instructiunilor
primite de la operator;
b)
faptul ca indeplinirea obligatiilor prevazute la alin. (1) revine si persoanei
imputernicite.
CAPITOLUL
VI
Supravegherea
si controlul prelucrarilor de date cu caracter personal
Autoritatea
de supraveghere
Art.
21.
(1)
Autoritatea de supraveghere, in sensul prezentei legi, este Avocatul Poporului.
(2)
Autoritatea de supraveghere isi desfasoara activitatea in conditii de completa
independenta si impartialitate.
(3)
Autoritatea de supraveghere monitorizeaza si controleaza sub aspectul
legalitatii prelucrarile de date cu caracter personal care cad sub incidenta
prezentei legi.
In
acest scop autoritatea de supraveghere exercita urmatoarele atributii:
a)
elaboreaza formularele tipizate ale notificarilor si ale registrelor proprii;
b)
primeste si analizeaza notificarile privind prelucrarea datelor cu caracter
personal, anuntand operatorului rezultatele controlului prealabil;
c)
autorizeaza prelucrarile de date in situatiile prevazute de lege;
d)
poate dispune, in cazul in care constata incalcarea dispozitiilor prezentei
legi, suspendarea provizorie sau incetarea prelucrarii datelor, stergerea
partiala ori integrala a datelor prelucrate si poate sa sesiseze organele de
urmarire penala sau sa intenteze actiuni in justitie;
e)
pastreaza si pune la dispozitie publicului registrul de evidenta a
prelucrarilor de date cu caracter personal;
f)
primeste si solutioneaza plangeri, sesizari sau cereri de la persoanele fizice
si comunica solutia data ori, dupa caz, diligentele depuse;
g)
efectueaza investigatii din oficiu sau la primirea unor plangeri ori sesizari;
h)
este consultata atunci cand se elaboreaza proiecte de acte normative
referitoare la protectia drepturilor si libertatilor persoanelor, in privinta
prelucrarii datelor cu caracter personal;
i)
poate face propuneri privind initierea unor proiecte de acte normative sau
modificarea actelor normative in vigoare in domenii legate de prelucrarea
datelor cu caracter personal;
j)
coopereaza cu autoritatile publice si cu organele administratiei publice,
centralizeaza si analizeaza rapoartele anuale de activitate ale acestora
privind protectia persoanelor in privinta prelucrarii datelor cu caracter
personal, formuleaza recomandari si avize asupra oricarei chestiuni legate de
protectia drepturilor si libertatilor fundamentale in privinta prelucrarii
datelor cu caracter personal, la cererea oricarei persoane, inclusiv a
autoritatilor publice si a organelor administratiei publice; aceste recomandari
si avize trebuie sa faca mentiune despre temeiurile pe care se sprijina si se
comunica in copie si Ministerului Justitiei; atunci cand recomandarea sau
avizul este cerut de lege, se publica in Monitorul Oficial al Romaniei, Partea
I;
k)
coopereaza cu autoritatile similare de peste hotare in vederea asistentei
mutuale, precum si cu persoanele cu domiciliul sau cu sediul in strainatate, in
scopul apararii drepturilor si libertatilor fundamentale ce pot fi afectate
prin prelucrarea datelor cu caracter personal;
l)
indeplineste alte atributii prevazute de lege.
(4)
Intregul personal al autoritatii de supraveghere are obligatia de a pastra
secretul profesional, cu exceptiile prevazute de lege, pe termen nelimitat,
asupra informatiilor confidentiale sau clasificate la care are sau a avut acces
in exercitarea atributiilor de serviciu, inclusiv dupa incetarea raporturilor
juridice cu autoritatea de supraveghere.
Notificarea
catre autoritatea de supraveghere
Art.
22.
(1)
Operatorul este obligat sa notifice autoritatii de supraveghere, personal sau
prin reprezentant, inainte de efectuarea oricarei prelucrari ori a oricarui
ansamblu de prelucrari avand acelasi scop sau scopuri corelate.
(2)
Notificarea nu este necesara in cazul in care prelucrarea are ca unic scop
tinerea unui registru destinat prin lege informarii publicului si deschis spre
consultare publicului in general sau oricarei persoane care probeaza un interes
legitim, cu conditia ca prelucrarea sa se limiteze la datele strict necesare
tinerii registrului mentionat.
(3)
Notificarea va cuprinde cel putin urmatoarele informatii:
a)
numele sau denumirea si domiciliul ori sediul operatorului si ale
reprezentantului desemnat al acestuia, daca este cazul;
b)
scopul sau scopurile prelucrarii;
c)
o descriere a categoriei sau a categoriilor de persoane vizate si a datelor ori
a categoriilor de date ce vor fi prelucrate;
d)
destinatarii sau categoriile de destinatari carora se intentioneaza sa li se
dezvaluie datele;
e)
garantiile care insotesc dezvaluirea datelor catre terti;
f)
modul in care persoanele vizate sunt informate asupra drepturilor lor; data
estimata pentru incheierea operatiunilor de prelucrare, precum si destinatia
ulterioara a datelor;
g)
transferuri de date care se intentioneaza sa fie facute catre alte state;
h)
o descriere generala care sa permita aprecierea preliminara a masurilor luate
pentru asigurarea securitatii prelucrarii;
i)
specificarea oricarui sistem de evidenta a datelor cu caracter personal, care
are legatura cu prelucrarea, precum si a eventualelor legaturi cu alte
prelucrari de date sau cu alte sisteme de evidenta a datelor cu caracter
personal, indiferent daca se efectueaza, respectiv daca sunt sau nu sunt
situate pe teritoriul Romaniei;
j)
motivele care justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau
(4) ori ale art. 13 alin. (5) sau (6), in situatia in care prelucrarea datelor
se face exclusiv in scopuri jurnalistice, literare sau artistice ori in scopuri
statistice, de cercetare istorica sau stiintifica.
(4)
Daca notificarea este incompleta, autoritatea de supraveghere va solicita
completarea acesteia.
(5)
In limitele puterilor de investigare de care dispune, autoritatea de
supraveghere poate solicita si alte informatii, in special privind originea
datelor, tehnologia de prelucrare automata utilizata si detalii referitoare la
masurile de securitate. Dispozitiile prezentului alineat nu se aplica in situatia
in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare
sau artistice.
(6)
Daca se intentioneaza ca datele care sunt prelucrate sa fie transferate in
strainatate, notificarea va cuprinde si urmatoarele elemente:
a)
categoriile de date care vor face obiectul transferului;
b)
tara de destinatie pentru fiecare categorie de date.
(7)
Notificarea este supusa unei taxe care trebuie platita de operator autoritatii
de supraveghere.
(8)
Autoritatile publice care efectueaza prelucrari de date cu caracter personal in
legatura cu activitatile descrise la art. 2 alin. (5), in temeiul legii sau in
indeplinirea obligatiilor asumate prin acorduri internationale ratificate, sunt
scutite de taxa prevazuta la alin. (7). Notificarea se va transmite in termen
de 15 zile de la intrarea in vigoare a actului normativ care instituie
obligatia respectiva si va cuprinde numai urmatoarele elemente:
a)
denumirea si sediul operatorului;
b)
scopul si temeiul legal al prelucrarii;
c)
categoriile de date cu caracter personal supuse prelucrarii.
(9)
Autoritatea de supraveghere poate stabili si alte situatii in care notificarea
nu este necesara, in afara celei prevazute la alin. (2), sau situatii in care
notificarea se poate efectua intr-o forma simplificata, precum si continutul
acesteia, numai in unul dintre urmatoarele cazuri:
a)
atunci cand, luand in considerare natura datelor destinate sa fie prelucrate,
prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor vizate,
cu conditia sa precizeze expres scopurile in care se poate face o asemenea
prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria
sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari
carora datele le pot fi dezvaluite si perioada pentru care datele pot fi
stocate;
b)
atunci cand prelucrarea se efectueaza in conditiile art. 7 alin. (2) lit. d).
Controlul
prealabil
Art.
23.
(1)
Autoritatea de supraveghere va stabili categoriile de operatiuni de prelucrare
care sunt susceptibile de a prezenta riscuri speciale pentru drepturile si
libertatile persoanelor.
(2)
Daca pe baza notificarii autoritatea de supraveghere constata ca prelucrarea se
incadreaza in una dintre categoriile mentionate la alin. (1), va dispune
obligatoriu efectuarea unui control prealabil inceperii prelucrarii respective,
cu anuntarea operatorului.
(3)
Operatorii care nu au fost anuntati in termen de 5 zile de la data notificarii
despre efectuarea unui control prealabil pot incepe prelucrarea.
(4)
In situatia prevazuta la alin. (2) autoritatea de supraveghere este obligata
ca, in termen de cel mult 30 de zile de la data notificarii, sa aduca la
cunostinta operatorului rezultatul controlului efectuat, precum si decizia
emisa in urma acestuia.
Registrul
de evidenta a prelucrarilor de date cu caracter personal
Art.
24.
(1)
Autoritatea de supraveghere pastreaza un registru de evidenta a prelucrarilor
de date cu caracter personal, notificate in conformitate cu prevederile art.
22. Registrul va cuprinde toate informatiile prevazute la art. 22 alin. (3).
(2)
Fiecare operator primeste un numar de inregistrare. Numarul de inregistrare
trebuie mentionat pe orice act prin care datele sunt colectate, stocate sau
dezvaluite.
(3)
Orice schimbare de natura sa afecteze exactitatea informatiilor inregistrate va
fi comunicata autoritatii de supraveghere in termen de 5 zile. Autoritatea de
supraveghere va dispune de indata efectuarea mentiunilor corespunzatoare in
registru.
(4)
Activitatile de prelucrare a datelor cu caracter personal, incepute anterior
intrarii in vigoare a prezentei legi, vor fi notificate in vederea
inregistrarii in termen de 15 zile de la data intrarii in vigoare a prezentei
legi.
(5)
Registrul de evidenta a prelucrarilor de date cu caracter personal este deschis
spre consultare publicului. Modalitatea de consultare se stabileste de
autoritatea de supraveghere.
Plangeri
adresate autoritatii de supraveghere
Art.
25.
(1)
In vederea apararii drepturilor prevazute de prezenta lege persoanele ale caror
date cu caracter personal fac obiectul unei prelucrari care cade sub incidenta
prezentei legi pot inainta plangere catre autoritatea de supraveghere.
Plangerea se poate face direct sau prin reprezentant. Persoana lezata poate
imputernici o asociatie sau o fundatie sa ii reprezinte interesele.
(2)
Plangerea catre autoritatea de supraveghere nu poate fi inaintata daca o cerere
in justitie, avand acelasi obiect si aceleasi parti, a fost introdusa anterior.
(3)
In afara cazurilor in care o intarziere ar cauza un prejudiciu iminent si
ireparabil, plangerea catre autoritatea de supraveghere nu poate fi inaintata
mai devreme de 15 zile de la inaintarea unei plangeri cu acelasi continut catre
operator.
(4)
In vederea solutionarii plangerii, daca apreciaza ca este necesar, autoritatea
de supraveghere poate audia persoana vizata, operatorul si, daca este cazul,
persoana imputernicita sau asociatia ori fundatia care reprezinta interesele
persoanei vizate. Aceste persoane au dreptul de a inainta cereri, documente si
memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
(5)
Daca plangerea este gasita intemeiata, autoritatea de supraveghere poate decide
oricare dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdictia
temporara a prelucrarii poate fi instituita numai pana la incetarea motivelor
care au determinat luarea acestei masuri.
(6)
Decizia trebuie motivata si se comunica partilor interesate in termen de 30 de
zile de la data primirii plangerii.
(7)
Autoritatea de supraveghere poate ordona, daca apreciaza necesar, suspendarea
unora sau tuturor operatiunilor de prelucrare pana la solutionarea plangerii in
conditiile alin. (5).
(8)
Autoritatea de supraveghere se poate adresa justitiei pentru apararea oricaror
drepturi garantate de prezenta lege persoanelor vizate. Instanta competenta
este Tribunalul Municipiului Bucuresti. Cererea de chemare in judecata este
scutita de taxa de timbru.
(9)
La cererea persoanelor vizate, pentru motive intemeiate, instanta poate dispune
suspendarea prelucrarii pana la solutionarea plangerii de catre autoritatea de
supraveghere.
(10)
Prevederile alin. (4)-(9) se aplica in mod corespunzator si in situatia in care
autoritatea de supraveghere afla pe orice alta cale despre savarsirea unei
incalcari a drepturilor recunoscute de prezenta lege persoanelor vizate.
Contestarea
deciziilor autoritatii de supraveghere
Art.
26.
(1)
Impotriva oricarei decizii emise de autoritatea de supraveghere in temeiul
dispozitiilor prezentei legi operatorul sau persoana vizata poate formula
contestatie in termen de 15 zile de la comunicare, sub sanctiunea decaderii, la
instanta de contencios administrativ competenta. Cererea se judeca de urgenta,
cu citarea partilor. Solutia este definitiva si irevocabila.
(2)
Fac exceptie de la prevederile alin. (1), precum si de la cele ale art. 23 si
25 prelucrarile de date cu caracter personal, efectuate in cadrul activitatilor
prevazute la art. 2 alin. (5).
Exercitarea
atributiilor de investigare
Art.
27.
(1)
Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei
plangeri, orice incalcare a drepturilor persoanelor vizate, respectiv a
obligatiilor care revin operatorilor si, dupa caz, persoanelor imputernicite,
in cadrul efectuarii prelucrarilor de date cu caracter personal, in scopul
apararii drepturilor si libertatilor fundamentale ale persoanelor vizate.
(2)
Atributiile de investigare nu pot fi exercitate de catre autoritatea de
supraveghere in cazul in care o cerere in justitie introdusa anterior are ca
obiect savarsirea aceleiasi incalcari a drepturilor si opune aceleasi parti.
(3)
In exercitarea atributiilor de investigare autoritatea de supraveghere poate
solicita operatorului orice informatii legate de prelucrarea datelor cu
caracter personal si poate verifica orice document sau inregistrare referitoare
la prelucrarea de date cu caracter personal.
(4)
Secretul de stat si secretul profesional nu pot fi invocate pentru a impiedica
exercitarea atributiilor acordate prin prezenta lege autoritatii de
supraveghere. Atunci cand este invocata protectia secretului de stat sau a
secretului profesional, autoritatea de supraveghere are obligatia de a pastra
secretul.
(5)
Daca exercitarea atributiei de investigare a autoritatii de supraveghere are ca
obiect o prelucrare de date cu caracter personal, efectuata de autoritatile
publice in legatura cu activitatile descrise la art. 2 alin. (5) pentru un caz
concret, este necesara obtinerea acordului prealabil al procurorului sau al
instantei competente.
Norme
de conduita
Art.
28.
(1)
Asociatiile profesionale au obligatia de a elabora si de a supune spre avizare
autoritatii de supraveghere coduri de conduita care sa contina norme adecvate
pentru protectia drepturilor persoanelor ale caror date cu caracter personal
pot fi prelucrate de catre membrii acestora.
(2)
Normele de conduita trebuie sa prevada masuri si proceduri care sa asigure un
nivel satisfacator de protectie, tinand seama de natura datelor ce pot fi
prelucrate. Autoritatea de supraveghere poate dispune masuri si proceduri
specifice pentru perioada in care normele de conduita la care s-a facut referire
anterior nu sunt adoptate.
CAPITOLUL
VII
Transferul
in strainatate al datelor cu caracter personal
Conditiile
transferului in strainatate al datelor cu caracter personal
Art.
29.
(1)
Transferul catre un alt stat de date cu caracter personal care fac obiectul
unei prelucrari sau sunt destinate sa fie prelucrate dupa transfer poate avea
loc numai in conditiile in care nu se incalca legea romana, iar statul catre
care se intentioneaza transferul asigura un nivel de protectie adecvat.
(2)
Nivelul de protectie va fi apreciat de catre autoritatea de supraveghere,
tinand seama de totalitatea imprejurarilor in care se realizeaza transferul de
date, in special avand in vedere natura datelor transmise, scopul prelucrarii
si durata propusa pentru prelucrare, statul de origine si statul de destinatie
finala, precum si legislatia statului solicitant. In cazul in care autoritatea
de supraveghere constata ca nivelul de protectie oferit de statul de destinatie
este nesatisfacator, poate dispune interzicerea transferului de date.
(3)
In toate situatiile transferul de date cu caracter personal catre un alt stat
va face obiectul unei notificari prealabile a autoritatii de supraveghere.
(4)
Autoritatea de supraveghere poate autoriza transferul de date cu caracter
personal catre un stat a carui legislatie nu prevede un nivel de protectie cel
putin egal cu cel oferit de legea romana atunci cand operatorul ofera garantii
suficiente cu privire la protectia drepturilor fundamentale ale persoanelor.
Aceste garantii trebuie sa fie stabilite prin contracte incheiate intre
operatori si persoanele fizice sau juridice din dispozitia carora se efectueaza
transferul.
(5)
Prevederile alin. (2), (3) si (4) nu se aplica daca transferul datelor se face
in baza prevederilor unei legi speciale sau ale unui acord international
ratificat de Romania, in special daca transferul se face in scopul prevenirii,
cercetarii sau reprimarii unei infractiuni.
(6)
Prevederile prezentului articol nu se aplica atunci cand prelucrarea datelor se
face exclusiv in scopuri jurnalistice, literare sau artistice, daca datele au
fost facute publice in mod manifest de catre persoana vizata sau sunt strans
legate de calitatea de persoana publica a persoanei vizate ori de caracterul
public al faptelor in care este implicata.
Situatii
in care transferul este intotdeauna permis
Art.
30.
Transferul
de date este intotdeauna permis in urmatoarele situatii:
a)
cand persoana vizata si-a dat in mod explicit consimtamantul pentru efectuarea
transferului; in cazul in care transferul de date se face in legatura cu
oricare dintre datele prevazute la art. 7, 8 si 10, consimtamantul trebuie dat
in scris;
b)
cand este necesar pentru executarea unui contract incheiat intre persoana
vizata si operator sau pentru executarea unor masuri precontractuale dispuse la
cererea pesoanei vizate;
c)
cand este necesar pentru incheierea sau pentru executarea unui contract
incheiat ori care se va incheia, in interesul persoanei vizate, intre operator
si un tert;
d)
cand este necesar pentru satisfacerea unui interes public major, precum
apararea nationala, ordinea publica sau siguranta nationala, pentru buna
desfasurare a procesului penal ori pentru constatarea, exercitarea sau apararea
unui drept in justitie, cu conditia ca datele sa fie prelucrate in legatura cu
acest scop si nu mai mult timp decat este necesar;
e)
cand este necesar pentru a proteja viata, integritatea fizica sau sanatatea
persoanei vizate;
f)
cand intervine ca urmare a unei cereri anterioare de acces la documente
oficiale care sunt publice ori a unei cereri privind informatii care pot fi
obtinute din registre sau prin orice alte documente accesibile publicului.
CAPITOLUL
VIII
Contraventii
si sanctiuni
Omisiunea
de a notifica si notificarea cu rea-credinta
Art.
31.
Omisiunea
de a efectua notificarea in conditiile art. 22 sau ale art. 29 alin. (3) in
situatiile in care aceasta notificare este obligatorie, precum si notificarea
incompleta sau care contine informatii false constituie contraventii, daca nu
sunt savarsite in astfel de conditii incat sa constituie infractiuni, si se
sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei.
Prelucrarea
nelegala a datelor cu caracter personal
Art.
32.
Prelucrarea
datelor cu caracter personal de catre un operator sau de o persoana
imputernicita de acesta, cu incalcarea prevederilor art. 4-10 sau cu
nesocotirea drepturilor prevazute la art. 12-15 sau la art. 17, constituie
contraventie, daca nu este savarsita in astfel de conditii incat sa constituie
infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000
lei.
Neindeplinirea
obligatiilor privind confidentialitatea si aplicarea masurilor de securitate
Art.
33.
Neindeplinirea
obligatiilor privind aplicarea masurilor de securitate si de pastrare a
confidentialitatii prelucrarilor, prevazute la art. 19 si 20, constituie
contraventie, daca nu este savarsita in astfel de conditii incat sa constituie
infractiune, si se sanctioneaza cu amenda de la 15.000.000 lei la 500.000.000
lei.
Refuzul
de a furniza informatii
Art.
34.
Refuzul
de a furniza autoritatii de supraveghere informatiile sau documentele cerute de
aceasta in exercitarea atributiilor de investigare prevazute la art. 27
constituie contraventie, daca nu este savarsita in astfel de conditii incat sa
constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la
150.000.000 lei.
Constatarea
contraventiilor si aplicarea sanctiunilor
Art.
35.
(1)
Constatarea contraventiilor si aplicarea sanctiunilor se efectueaza de catre
autoritatea de supraveghere, care poate delega aceste atributii unor persoane
recrutate din randul personalului sau, precum si de reprezentanti imputerniciti
ai organelor cu atributii de supraveghere si control, abilitate potrivit legii.
(2)
Dispozitiile prezentei legi referitoare la contraventii se completeaza cu
prevederile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al
contraventiilor, in masura in care prezenta lege nu dispune altfel.
(3)
Impotriva proceselor-verbale de constatare si sanctionare se poate face
plangere la sectiile de contencios administrativ ale tribunalelor.
CAPITOLUL
IX
Dispozitii
finale
Intrarea
in vigoare
Art.
36.
Prezenta
lege intra in vigoare la data publicarii ei in Monitorul Oficial al Romaniei,
Partea I, si se pune in aplicare in termen de 3 luni de la intrarea sa in
vigoare.
Aceasta
lege a fost adoptata de Senat in sedinta din 15 octombrie 2001, cu respectarea
prevederilor art. 74 alin. (2) din Constitutia Romaniei.
PRESEDINTELE
SENATULUI
NICOLAE
VACAROIU
Aceasta
lege a fost adoptata de Camera Deputatilor in sedinta din 22 octombrie 2001, cu
respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.
PRESEDINTELE
CAMEREI DEPUTATILOR
VALER
DORNEANU
Bucuresti,
21 noiembrie 2001
Niciun comentariu:
Trimiteți un comentariu
Rețineți: Numai membrii acestui blog pot posta comentarii.