Archivos de la etiqueta: Legislación de Rumania

14May/18

Decizia Nr. 23/2012

Decizia Nr. 23/2012 privind stabilirea cazurilor in care nu este necesara notificarea prelucrarii unor date cu caracter personal (Publicat in Monitorul Oficial, Partea I Nr. 216 din 2 aprilie 2012)

AUTORITATEA NATIONALA DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER PERSONAL

Vazand Referatul Nr. 25 din 7 martie 2012 al Biroului juridic si comunicare din cadrul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal privind propunerea emiterii unei decizii privind stabilirea unor cazuri in care nu este necesara notificarea prelucrarii unor date cu caracter personal, in aplicarea prevederilor art. 22 alin. (9) din Legea Nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, conform carora autoritatea de supraveghere poate stabili cazuri in care notificarea nu este necesara, luand in considerare faptul ca anumite prelucrari de date nu sunt susceptibile, in cazul utilizarii lor regulate, de a afecta cel putin aparent, drepturile persoanelor vizate, in temeiul prevederilor art. 3 alin. (5) si (6) din Legea Nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare, si ale art. 6 alin. (2) lit. b) din Regulamentul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, aprobat prin Hotararea Biroului permanent al Senatului nr. 16/2005, cu modificarile si completarile ulterioare, presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal emite prezenta decizie.

 

Art. 1

Notificarea prelucrarii datelor cu caracter personal nu este necesara in urmatoarele cazuri:

a) cand prelucrarea datelor cu caracter personal este efectuata de persoanele fizice sau de entitatile private care desfasoara o activitate independenta, autorizata in baza unei legi speciale, in scopul indeplinirii atributiilor lor legale;

b) cand prelucrarea datelor cu caracter personal este efectuata in scopul gestionarii bazei de date detinute de Arhivele Nationale;

c) cand prelucrarea datelor cu caracter personal este efectuata in scopul imprumuturilor de carti, opere cinematografice, artistice, alte opere audiovizuale, precum si de reproduceri ale acestora de catre entitatile de drept public si privat;

d) cand prelucrarea datelor cu caracter personal este efectuata de autoritatea judecatoreasca in scopul indeplinirii atributiilor sale legale, altele decat cele prevazute la art. 2 alin. (5) din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare;

e) cand prelucrarea datelor cu caracter personal este efectuata de autoritatile administratiei publice locale, precum si de autoritatile administratiei publice la nivel judetean si al municipiului Bucuresti, in scopul indeplinirii atributiilor lor legale;

f) cand prelucrarea datelor cu caracter personal este efectuata in scopul intermedierii tranzactiilor imobiliare;

g) cand prelucrarea datelor cu caracter personal referitoare la proprii membri este efectuata de partidele politice, cu conditia ca datele sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate.

 

Art. 2

Exceptiile de la obligatia de a notifica prevazute la art. 1 nu exonereaza operatorul de indeplinirea celorlalte obligatii care ii revin potrivit dispozitiilor legale aplicabile in domeniul protectiei datelor cu caracter personal.

 

Art. 3

La articolul 1 din Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 91/2008 privind cazurile in care este permisa notificarea simplificata a prelucraarii datelor cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 654 din 28 iulie 2006, se abroga literele a), b), c), d), f), g), h) si j).

 

Art. 4

Formularul tipizat al notificarilor, aprobat prin Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal Nr. 95/2008 privind stabilirea formularului tipizat al notificarilor prevazute de Legea Nr. 677/2001 pentru protectia persoanelor cu privire la prelucarea datelor cu caracter personal si libera circulatie a acestor date, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 876 din 24 decembrie 2008, se modifica prin inlocuirea coordonatelor de contact ale Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu actualele coordonate, astfel: “Bd. Gheorghe Magheru nr. 28/30, sectorul 1, Bucuresti, telefon 031.805.9211”.

 

Art. 5

Prezenta decizie intra in vigoare la data publicarii in Monitorul Oficial al Romaniei, Partea I.

 

Art. 6

Prezenta decizie nu aduce atingere prevederilor Deciziei presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 90/2006 privind cazurile in care nu este necesara notificarea prelucrarii unor date cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, Nr. 654 din 28 iulie 2006, ale Deciziei presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal Nr. 100/2007 privind stabilirea cazurilor in care nu este necesara notificarea prelucrarii unor date cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, Nr. 823 din 3 decembrie 2007, si ale Deciziei presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal Nr. 28/2007 privind transferurile datelor cu caracter personal catre alte state, publicata in Monitorul Oficial al Romaniei, Partea I, Nr. 182 din 16 martie 2007.

 

Presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, Georgeta Basarabescu

Bucuresti, 26 martie 2012.

12May/18

Legea nr. 238/2009

Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Administrației și Internelor în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice. (Publicată în Monitorul Oficial al României, Partea I, nr. 405 din 15 iunie 2009).

 

CAPITOLUL I: Dispoziţii generale

 

Art. 1

(1)Prezenta lege reglementează prelucrarea automată şi neautomată a datelor cu
caracter personal pentru realizarea activităţilor de prevenire, cercetare şi
combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice
de către structurile/unităţile Ministerului Administraţiei şi Internelor, potrivit
competenţelor acestora.

(2)Structurile/Unităţile Ministerului Administraţiei şi Internelor, denumite în
continuare structurile/unităţile M.A.I., care desfăşoară, potrivit competenţelor,
activităţile prevăzute la alin. (1), în calitate de operatori, dobândite în condiţiile
Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor
cu caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare, prelucrează date cu caracter personal în exercitarea
atribuţiilor legale.

(3)Prezenta lege nu se aplică prelucrărilor şi transferului de date cu caracter
personal efectuate în îndeplinirea atribuţiilor legale de structurile/unităţile M.A.I.
în domeniul apărării naţionale şi securităţii naţionale, în limitele şi cu restricţiile
stabilite de lege.

 

Art. 2

În înţelesul prezentei legi, termenii şi expresiile de mai jos au următoarea
semnificaţie:

a)interconectare – operaţiunea de a pune în legătură datele cu caracter personal
cuprinse într-un fişier, bază de date sau sistem de evidenţă automat cu cele
cuprinse într-unui sau mai multe fişiere, baze de date sau sisteme de evidenţă
automate care sunt gestionate de operatori diferiţi sau de către acelaşi operator,
dar având scopuri diferite, similare sau corelate, după caz;

b)semnalare – setul de date introduse într-un sistem de evidenţă a datelor cu
caracter personal referitoare la persoane sau bunuri cu privire la care au fost
dispuse unele măsuri, în condiţiile legii, în vederea realizării unui interes public, a
respectării regimului liberei circulaţii a persoanelor şi bunurilor sau a asigurării ori
menţinerii ordinii şi siguranţei publice;

c)blocare – marcarea unor date cu caracter personal stocate, în scopul limitării
prelucrării pe viitor;

d)atribuirea de referinţe – marcarea unor date cu caracter personal stocate, fără
a avea ca scop limitarea prelucrării lor ulterioare;

e)transformarea în date anonime – modificarea datelor cu caracter personal,
astfel încât detaliile privind circumstanţele personale sau materiale să nu mai
permită atribuirea acestora unei persoane fizice identificate sau identificabile sau
atribuirea să fie posibilă doar în condiţiile unei investiţii disproporţionate de timp,
costuri şi forţă de muncă;

f)consimţământul persoanei vizate – orice manifestare de voinţă, liberă, specifică
şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu
caracter personal care o privesc;

g)evidenţă pasivă – fişier sau bază de date cu caracter personal constituit în
scopul accesării limitate şi ulterior ştergerii datelor stocate din sistemul de
evidenţă.

 

Art. 3

(1)Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile
M.A.I. constituie, organizează şi deţin, potrivit atribuţiilor legale, sisteme de
evidenţă şi utilizează mijloace automate şi neautomate de prelucrare a datelor cu
caracter personal, în condiţiile legii.

(2)Structurile/Unităţile M.A.I. utilizează sisteme de evidenţă şi/sau mijloace
automate şi neautomate de prelucrare a datelor cu caracter personal, cu
respectarea drepturilor omului şi aplicarea principiilor legalităţii, necesităţii,
confidenţialităţii, proporţionalităţii şi numai dacă, prin utilizarea acestora, este
asigurată protecţia datelor prelucrate.

(3)Înaintea introducerii unui sistem de evidenţă sau a unui mijloc
automat/neautomat de prelucrare a datelor cu caracter personal care este
susceptibil să prezinte anumite riscuri privind datele prelucrate,
structurile/unităţile M.A.I. consultă Autoritatea Naţională de Supraveghere a
Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea
naţională de supraveghere, care, dacă este cazul, stabileşte garanţii adecvate,
potrivit legii.

 

CAPITOLUL II: Notificarea prelucrărilor datelor cu caracter personal

 

Art. 4

(1)Prelucrările de date cu caracter personal sunt notificate Autorităţii naţionale
de supraveghere. Notificarea se efectuează anterior oricărei prelucrări, în
condiţiile legii.

(2)Notificarea prelucrării automate sau neautomate a datelor cu caracter
personal prin sisteme de evidenţă a datelor cu caracter personal, realizată
potrivit legii de către structurile/unităţile M.A.I., cuprinde, pe lângă informaţiile
prevăzute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificările şi
completările ulterioare, în mod corespunzător şi informaţii referitoare la natura
fiecărui sistem de evidenţă a datelor cu caracter personal care are legătură cu
prelucrarea, precum şi la destinatarii cărora le sunt comunicate datele.

(3)Notificarea prelucrării datelor cu caracter personal prin sisteme de evidenţă
constituite în anumite cazuri numai pentru perioada necesară realizării unor
activităţi de prevenire, cercetare şi combatere a infracţiunilor, precum şi de
menţinere şi asigurare a ordinii publice se face cu respectarea condiţiilor
prevăzute la alin. (2), numai dacă prelucrarea nu a făcut obiectul unei notificări
anterioare.

 

CAPITOLUL III: Colectarea datelor cu caracter personal

 

Art. 5

(1)Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile
M.A.I. colectează date cu caracter personal, cu sau fără consimţământul
persoanei vizate, în condiţiile legii.

(2)Colectarea datelor cu caracter personal fără consimţământul persoanei vizate
pentru realizarea activităţilor prevăzute la art. 1 alin. (1) se face numai dacă
această măsură este necesară pentru prevenirea unui pericol iminent cel puţin
asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii
acesteia, precum şi pentru combaterea unei anumite infracţiuni.

(3)Colectarea datelor cu caracter personal pentru realizarea activităţilor
prevăzute la art. 1 alin. (1) se efectuează de personalul structurilor/unităţilor
M.A.I. numai în scopul îndeplinirii atribuţiilor de serviciu.

(4)Colectarea datelor cu caracter personal în scopurile prevăzute la art. 1 alin.
(1) trebuie să fie limitată la datele necesare pentru prevenirea unui pericol
iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane
ori a proprietăţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.

(5)Colectarea de date privind persoana fizică exclusiv datorită faptului că aceasta
are o anumită origine rasială, anumite convingeri religioase ori politice, un
anumit comportament sexual sau datorită apartenenţei acesteia la anumite
mişcări ori organizaţii care nu contravin legii este interzisă.

(6)Prin excepţie de la prevederile alin. (5), structurile/unităţile M.A.I. colectează
şi prelucrează, cu respectarea garanţiilor prevăzute de Legea nr. 677/2001, cu
modificările şi completările ulterioare, date exclusiv în baza acestor criterii numai
dacă, într-un caz determinat, sunt necesare pentru efectuarea actelor
premergătoare sau a urmăririi penale, ca urmare a săvârşirii unei infracţiuni.
Prevederile art. 4 se aplică în mod corespunzător.

(7)Prevederile alin. (6) nu aduc atingere dispoziţiilor legale care reglementează
obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi
privată.

 

CAPITOLUL IV: Stocarea datelor cu caracter personal

 

Art. 6

(1)Pentru realizarea scopurilor activităţilor prevăzute la art. 1 alin. (1),
structurile/unităţile M.A.I. stochează numai acele date cu caracter personal care
sunt exacte, complete şi necesare îndeplinirii atribuţiilor legale sau obligaţiilor
rezultate din instrumente juridice internaţionale la care România este parte.

(2)Stocarea diferitelor categorii de date cu caracter personal se realizează prin
ordonarea acestora în funcţie de gradul lor de acurateţe şi exactitate. Datele cu
caracter personal bazate pe opinii şi interpretări personale rezultate din
activităţile prevăzute la art. 1 alin. (1) sunt ordonate în mod distinct.

(3)Structurile/Unităţile M.A.I. au obligaţia de a verifica periodic calitatea datelor
prevăzute la alin. (2), conform regulilor stabilite potrivit art. 31 alin. (1) lit. b).

(4)În situaţia în care datele cu caracter personal stocate se dovedesc a fi
inexacte sau incomplete, structurile/unităţile M.A.I. care le deţin au obligaţia să
le şteargă, distrugă, modifice, actualizeze sau, după caz, să le completeze.

(5)Structurile/Unităţile M.A.I. stochează datele cu caracter personal colectate în
scopuri administrative separat de datele cu caracter personal colectate în
scopurile prevăzute la art. 1 alin. (1).

 

Art. 7

(1)Datele cu caracter personal se blochează atunci când există motive întemeiate
să se considere că ştergerea lor ar putea afecta drepturile, libertăţile şi interesele
legitime ale persoanei vizate.

(2)Datele blocate se prelucrează doar în scopul care a împiedicat ştergerea lor.

(3)Datele blocate se şterg de îndată ce nu mai sunt necesare scopului prevăzut
la alin. (2).

 

Art. 8

Structurile/Unităţile M.A.I. prelucrează suplimentar date cu caracter personal,
într-un alt scop decât cel pentru care datele au fost colectate, dacă sunt
îndeplinite următoarele condiţii:

a)prelucrarea este compatibilă cu scopul în care au fost colectate datele;

b)scopul în care urmează a fi prelucrate suplimentar datele cu caracter personal
de către structurile/unităţile M.A.I. sau entităţile cărora urmează să le fie
comunicate datele se încadrează în atribuţiile sau, după caz, obligaţiile ce le revin
potrivit legii;

c)prelucrarea este necesară şi proporţională în raport cu noul scop.

 

CAPITOLUL V: Comunicarea datelor cu caracter personal

 

Art. 9

(1)Comunicarea datelor cu caracter personal între structurile/unităţile M.A.I. se
face numai în cazul în care este necesară pentru exercitarea competenţelor şi
îndeplinirea atribuţiilor legale ce le revin.

(2)Comunicarea de date cu caracter personal către alte autorităţi sau instituţii
publice se poate efectua numai în următoarele situaţii:

a)în baza unei prevederi legale exprese ori cu autorizarea Autorităţii naţionale de
supraveghere;

b)când datele sunt indispensabile îndeplinirii atribuţiilor legale ale destinatarului
şi numai dacă scopul în care se face colectarea sau prelucrarea de către
destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de
structurile/unităţile M.A.I., iar comunicarea datelor de structurile/unităţile M.A.I.
se realizează în conformitate cu atribuţiile legale ale acestora.

(3)Prin excepţie de la prevederile alin. (2), comunicarea datelor cu caracter
personal către alte autorităţi sau instituţii publice este permisă în următoarele
situaţii:

a)persoana vizată şi-a exprimat consimţământul expres şi neechivoc pentru
comunicarea datelor sale;

b)comunicarea este necesară pentru a preveni un pericol grav şi iminent cel
puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a
proprietăţii acesteia.

(4)Comunicarea datelor cu caracter personal către entităţi de drept privat care îşi
desfăşoară activitatea pe teritoriul României se efectuează numai dacă există o
obligaţie legală expresă sau cu autorizarea Autorităţii naţionale de supraveghere.

(5)Prin excepţie de la prevederile alin. (4), comunicarea datelor cu caracter
personal către entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul
României sau în afara acestuia este permisă dacă persoana vizată şi-a dat
consimţământul în mod expres şi neechivoc pentru comunicarea datelor sale sau
dacă este necesară pentru a preveni un pericol grav şi iminent cel puţin asupra
vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia sau a unei alte persoane ameninţate.

 

Art. 10

(1)Datele cu caracter personal deţinute de structurile/unităţile M.A.I. potrivit
scopurilor prevăzute la art. 1 alin. (1) pot fi transferate următorilor destinatari:

a)autorităţilor poliţieneşti, judiciare sau altor autorităţi competente din statele
membre ori organismelor sau instituţiilor Uniunii Europene cu atribuţii în
domeniul cooperării poliţieneşti ori judiciare în materie penală;

b)Organizaţiei Internaţionale a Poliţiei Criminale – Interpol sau altor instituţii
internaţionale similare;

c)organismelor de poliţie din state terţe.

(2)Transferul datelor cu caracter personal prevăzut la alin. (1) se realizează în
una dintre următoarele situaţii:

a)există o prevedere legală expresă în legislaţia naţională sau într-un tratat
ratificat de România;

b)există prevederi legale care reglementează cooperarea poliţienească sau
cooperarea judiciară internaţională în materie penală;

c)când transferul este necesar pentru prevenirea unui pericol grav şi iminent
asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii
acesteia, precum şi pentru combaterea unei infracţiuni grave prevăzute de lege,
cu respectarea legii române.

 

Art. 11

(1)Cererile pentru comunicarea datelor cu caracter personal adresate
structurilor/unităţilor M.A.I. de către alte structuri/unităţi ale M.A.I., alte
autorităţi sau instituţii publice, entităţi de drept privat care îşi desfăşoară
activitatea pe teritoriul României sau în afara acestuia şi organisme de poliţie ale
altor state trebuie să conţină datele de identificare a solicitantului, precum şi
motivarea şi scopul cererii, conform prevederilor legale interne sau celor cuprinse
în acordurile internaţionale la care România este parte. Cererile care nu conţin
aceste date şi nu sunt conforme prevederilor legale interne sau celor cuprinse în
acordurile internaţionale la care România este parte se resping.

(2)Înainte de comunicare, structurile/unităţile M.A.I. verifică dacă datele
solicitate sunt exacte, complete şi actualizate. În cazul în care se constată că nu
sunt corecte, complete sau actualizate, datele nu se comunică. În comunicări
trebuie indicate, după caz, datele care rezultă din hotărâri ale instanţelor
judecătoreşti ori din actele prin care s-a dispus neînceperea urmăririi penale,
clasarea, scoaterea de sub urmărire penală, încetarea urmăririi penale sau
trimiterea în judecată, precum şi datele bazate pe opinii şi interpretări personale
rezultate din activităţile prevăzute la art. 1 alin. (1). Datele bazate pe opinii şi
interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1) trebuie
verificate la sursă înainte de a fi comunicate, iar gradul de acurateţe şi exactitate
al acestor date trebuie întotdeauna menţionat cu ocazia comunicării.

(3)În situaţia în care au fost transmise date incorecte sau neactualizate,
structurile/unităţile M.A.I. au obligaţia să îi informeze pe destinatarii respectivelor
date asupra neconformităţii acestora, cu menţionarea datelor care au fost
modificate sau, dacă este cazul, cu precizarea că datele transmise trebuie
rectificate, şterse ori blocate.

(4)În situaţia în care se constată că au fost transmise date cu caracter personal
în mod ilegal, structurile/unităţile M.A.I. au obligaţia de a-i informa pe destinatarii
acestor date, cu precizarea că datele transmise trebuie şterse de îndată.

(5)În situaţia în care se constată că structurilor/unităţilor M.A.I. le-au fost
transmise date cu caracter personal incorecte sau neactualizate, datele se
rectifică, se şterg sau, după caz, se blochează, în condiţiile legii. Dacă
structurilor/unităţilor M.A.I. le sunt transmise în mod eronat sau ilegal astfel de
date, acestea se şterg sau, după caz, se blochează de îndată. Entitatea care a
transmis datele este informată cu privire la măsura adoptată şi motivul adoptării
acesteia.

(6)În cazul în care structurilor/unităţilor M.A.I. le sunt transmise, potrivit legii,
date cu caracter personal nesolicitate, acestea au obligaţia de a verifica dacă
datele sunt necesare în scopul pentru care au fost transmise. Datele care nu sunt
necesare scopului se şterg sau, după caz, se blochează de îndată. Entitatea care
a transmis datele este informată cu privire la măsura adoptată şi motivul
adoptării acesteia.

 

Art. 12

(1)La comunicarea datelor cu caracter personal către alte autorităţi sau instituţii
publice, entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul
României sau în afara acestuia, ori către destinatarii prevăzuţi la art. 10 alin. (1),
structurile/unităţile M.A.I. atenţionează destinatarii asupra interdicţiei de a
prelucra datele comunicate în alte scopuri decât cele specificate în cererea de
comunicare.

(2)La comunicarea datelor cu caracter personal potrivit alin. (1) i se indică
destinatarului limitări ale prelucrării, dacă este cazul, şi termene de păstrare
adecvate şi se precizează obligaţia de a şterge datele cu caracter personal
transmise la expirarea termenului indicat sau, dacă este cazul, de a proceda la
blocarea acestora. Termenele de păstrare comunicate nu pot depăşi termenele
stabilite prin prevederi legale ori, după caz, cele stabilite de structurile/unităţile
M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 31, pentru acele categorii de
date cu caracter personal pe care le deţin şi urmează să facă obiectul
comunicării.

(3)În cazul în care se comunică date cu caracter personal destinatarilor prevăzuţi
la art. 10 alin. (1) lit. a), pot fi comunicate limitări ale prelucrării doar dacă
acestea sunt stabilite de lege, iar termenele de păstrare sunt cele stabilite prin
prevederi legale ori, după caz, de structurile/unităţile M.A.I. prin reguli proprii,
potrivit dispoziţiilor art. 31.

(4)Prelucrarea datelor de către destinatari în alte scopuri decât cele care au
format obiectul cererii se poate realiza numai cu acordul structurilor/unităţilor
M.A.I. care le-au comunicat şi numai cu respectarea prevederilor art. 9 alin. (2)-
(5) şi ale art. 10.

(5)Structurile/Unităţile M.A.I. pot solicita destinatarilor prevăzuţi la alin. (1),
cărora le-au fost comunicate date cu caracter personal, informaţii cu privire la
modul în care acestea au fost prelucrate.

 

Art. 13

(1)Pentru datele cu caracter personal comunicate de către alte autorităţi
competente sau entităţi de drept privat din afara teritoriului României, în cazul în
care este precizat un termen de păstrare a datelor, structurile/unităţile M.A.I. au
obligaţia de a şterge ori, după caz, de a bloca datele la expirarea termenului de
păstrare a datelor indicat. În cazul în care nu este precizat un termen de păstrare
a datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal,
stabilite pentru acele categorii de date de către structurile/unităţile M.A.I.,
potrivit dispoziţiilor art. 31.

(2)În cazul datelor cu caracter personal prevăzute la alin. (1), structurile/unităţile
M.A.I. au obligaţia de a verifica periodic, o dată la 3 ani, necesitatea stocării
acestora.

(3)Datele cu caracter personal a căror stocare nu mai este necesară se şterg sau,
după caz, se blochează, chiar dacă nu s-a împlinit termenul precizat de entitatea
care le-a transmis Ori cel prevăzut de regulile stabilite potrivit dispoziţiilor art. 31.

(4)Dispoziţiile alin. (1) nu se aplică dacă la momentul expirării termenului de
păstrare a datelor, indicat de autoritatea competentă sau entitatea de drept
privat din afara teritoriului României, datele cu caracter personal sunt în
continuare necesare pentru efectuarea de acte premergătoare în vederea
începerii urmăririi penale, pentru desfăşurarea urmăririi penale sau pentru
executarea unei pedepse.

 

Art. 14

Datele cu caracter personal comunicate de către autorităţile competente ale unui
stat membru al Uniunii Europene, denumit în continuare stat membru, pot fi
prelucrate suplimentar de către structurile/unităţile M.A.I., în alt scop decât cel
pentru care au fost transmise, în una dintre următoarele situaţii:

a)pentru prevenirea, constatarea, cercetarea sau urmărirea penală a
infracţiunilor ori executarea pedepselor, altele decât cele pentru care au fost
comunicate;

b)pentru derularea altor proceduri judiciare sau administrative direct legate de
prevenirea, constatarea, cercetarea ori urmărirea penală a infracţiunilor ori
executarea pedepselor;

c)pentru prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei
publice;

d)în orice alt scop, cu consimţământul prealabil al statului membru care
transmite sau cu consimţământul persoanei vizate, potrivit legii.

 

Art. 15

(1)Datele cu caracter personal comunicate de către autorităţile competente ale
unui alt stat membru pot fi transferate de structurile/unităţile M.A.I. către
autorităţi competente dintr-un stat care nu este membru al Uniunii Europene,
denumit în continuare stat terţ, sau către organisme internaţionale, numai dacă
sunt îndeplinite, cumulativ, următoarele condiţii:

a)se impune pentru prevenirea, constatarea, cercetarea sau urmărirea penală a
infracţiunilor ori executarea pedepselor;

b)datele cu caracter personal sunt comunicate organismului internaţional ori
autorităţii statului terţ competente în prevenirea, constatarea, cercetarea sau
urmărirea penală a infracţiunilor sau pentru executarea pedepselor;

c)există acordul statului membru care a comunicat datele pentru transfer;

d)statul terţ sau organismul internaţional în cauză asigură un nivel corespunzător
de protecţie pentru prelucrarea de date urmărită.

(2)Datele cu caracter personal pot fi comunicate în condiţiile prevăzute la alin.
(1), fără acordul statului membru, numai dacă transferul de date este strict
necesar pentru prevenirea unui pericol grav şi iminent la adresa ordinii şi
siguranţei publice a unui stat membru ori a unui stat terţ sau a intereselor
fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obţinut în
timp util.

(3)În situaţia prevăzută la alin. (2), unitatea/structura M.A.I. care efectuează
comunicarea de date cu caracter personal are obligaţia de a informa de îndată
autoritatea competentă din statul membru care a furnizat datele.

(4)Prin excepţie de la prevederile alin. (1) lit. d), datele cu caracter personal pot
fi comunicate către autorităţile competente dintr-un stat terţ sau către
organismele internaţionale, cu respectarea dispoziţiilor art. 30 lit. d) ori e) din
Legea nr. 677/2001, cu modificările şi completările ulterioare.

 

Art. 16

(1)Datele cu caracter personal comunicate de către autorităţile competente ale
unui alt stat membru pot fi transferate către entităţi de drept privat dintr-un stat
membru, altul decât cel care a furnizat datele, numai dacă sunt îndeplinite,
cumulativ, următoarele condiţii:

a)autoritatea competentă din statul membru care a comunicat datele şi-a dat
acordul pentru efectuarea prelucrării;

b)niciun interes specific legitim al persoanei vizate nu împiedica transmiterea;

c)în situaţii specifice, comunicarea este esenţială pentru autoritatea competentă
care transmite date unei entităţi private.

(2)Cazurile specifice pentru care se consideră îndeplinită condiţia prevăzută la
alin. (1) lit. c) sunt determinate de următoarele situaţii:

a)îndeplinirea unei obligaţii prevăzute de lege în sarcina entităţii private;

b)prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor ori
executarea pedepselor;

c)prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei publice;

d)prevenirea unei vătămări grave a drepturilor persoanei.

(3)Structurile/Unităţile M.A.I. au obligaţia de a informa entităţile de drept privat
cărora le sunt comunicate datele potrivit alin. (1) cu privire la scopurile pentru
care, în mod exclusiv, pot fi utilizate datele cu caracter personal comunicate.

 

Art. 17

La cerere, structurile/unităţile M.A.I. informează autorităţile competente ale unui
alt stat membru care au transmis date cu caracter personal cu privire la modul în
care acestea au fost prelucrate, în termen de 15 zile de la înregistrarea solicitării.

 

Art. 18

(1)Pentru realizarea activităţilor de cercetare şi combatere a infracţiunilor,
structurile/unităţile M.A.I. pot interconecta sistemele de evidenţă a datelor cu
caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu
caracter personal pe care le deţin pentru scopuri diferite.

(2)În scopul prevăzut la alin. (1), interconectarea sistemelor de evidenţă a
datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor
cu caracter personal, constituite potrivit art. 3, se poate realiza şi cu sistemele de
evidenţă ori cu mijloacele automate de prelucrare a datelor cu caracter personal
deţinute de alţi operatori, autorităţi şi instituţii publice naţionale.

(3)Interconectările prevăzute la alin. (1) şi (2) sunt posibile numai cu acordul
prealabil al Autorităţii naţionale de supraveghere. În cazul obţinerii acordului
prealabil, structura/unitatea M.A.I. notifică prelucrarea Autorităţii naţionale de
supraveghere, în condiţiile prevăzute la art. 4.

(4)În scopul prevăzut la alin. (1), interconectarea sistemelor de evidenţă a
datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor
cu caracter personal, constituite potrivit art. 3, se poate realiza şi cu sistemele de
evidenţă sau cu mijloacele automate de prelucrare a datelor cu caracter personal
deţinute de alţi operatori, entităţi de drept privat.

(5)Interconectările prevăzute la alin. (4) sunt permise numai în cazul efectuării
actelor premergătoare, al urmăririi penale sau al judecării unei infracţiuni în baza
unei autorizări emise de procurorul competent să efectueze ori să supravegheze,
într-un caz determinat, efectuarea actelor premergătoare sau urmărirea penală
ori, în căzui judecării unei infracţiuni, de judecătorul anume desemnat de la
instanţa căreia îi revine competenţa de a judeca fondul cauzei pentru care sunt
prelucrate datele respective.

(6)Accesul direct sau printr-un serviciu de comunicaţii electronice la un sistem de
evidenţă a datelor cu caracter personal care face obiectul interconectării, potrivit
alin. (1), este permis numai în condiţiile legii şi cu respectarea prevederilor art. 1
alin. (1) şi ale art. 6-24.

 

Art. 19

(1)În cazul activităţilor de prevenire a infracţiunilor, de menţinere şi de asigurare
a ordinii publice, sistemele de evidenţă a datelor cu caracter personal sau
mijloacele automate de prelucrare a datelor cu caracter personal, constituite
potrivit art. 3, pot fi interconectate cu:

a)Registrul naţional de evidenţă a persoanelor;

b)Registrul naţional de evidenţă a paşapoartelor simple;

c)Registrul naţional de evidenţă a permiselor de conducere şi a vehiculelor
înmatriculate,

(2)În cazul activităţilor prevăzute la alin. (1), structurile/ unităţile M.A.I. pot
interconecta sistemele de evidenţă a datelor cu caracter personal sau, după caz,
mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin
pentru scopuri similare ori corelate.

(3)Interconectările prevăzute la alin. (1) şi (2) se notifică Autorităţii naţionale de
supraveghere prin modificarea/ completarea notificării sau depunerea unei noi
notificări.

(4)În cazul activităţilor prevăzute la alin. (1), structurile/ unităţile M.A.I. pot
interconecta sistemele de evidenţă a datelor cu caracter personal sau, după caz,
mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin
pentru scopuri diferite, numai cu acordul prealabil al Autorităţii naţionale de
supraveghere. În cazul obţinerii acordului, structurile/unităţile M.A.I. notifică
prelucrarea datelor Autorităţii naţionale de supraveghere prin
modificarea/completarea notificării sau depunerea unei noi notificări.

(5)Dispoziţiile alin. (1)-(4) sunt aplicabile şi în cazul activităţilor de control la
frontieră, executate, în condiţiile legii, de structura specializată a M.A.I, care
impun interconectarea sistemelor de evidenţă a datelor cu caracter personal sau
a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite
potrivit dispoziţiilor art. 3.

 

Art. 20

(1)Structurile/Unităţile M.A.I. pot configura sistemele de evidenţă a datelor cu
caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu
caracter personal pe care le deţin pentru scopuri corelate sau diferite, astfel încât
semnalările cu privire la persoane sau bunuri să fie accesibile în orice sistem ori
mijloc de prelucrare.

(2)Sistemele de evidenţă a datelor cu caracter personal sau, după caz, mijloacele
automate de prelucrare a datelor cu caracter personal deţinute de
structurile/unităţile M.A.I. se configurează astfel încât niciun utilizator să nu aibă
acces decât la datele cu caracter personal strict necesare desfăşurării atribuţiilor
de serviciu. Structurile/Unităţile M.A.I. au obligaţia de a stabili categoriile de date
la care are acces fiecare utilizator, în scopul îndeplinirii atribuţiilor de serviciu.

 

Art. 21

(1)În cazul sistemelor de evidenţă constituite potrivit scopurilor prevăzute la art.
1 alin. (1), structurile/unităţile M.A.I. pot permite autorităţilor, instituţiilor sau
organizaţiilor prevăzute la art. 10 accesul direct la sistemele gestionate, doar în
condiţii care să asigure securitatea datelor cu caracter personal, în următoarele
situaţii:

a)în baza unui tratat ratificat de România;

b)în cadrul activităţii de cooperare poliţienească şi judiciară în materie penală
efectuată în cadrul Uniunii Europene.

(2)Prelucrările efectuate potrivit alin. (1) se notifică Autorităţii naţionale de
supraveghere în condiţiile art. 4.

(3)În situaţia prevăzută la alin. (1), prelucrarea datelor cu caracter personal de
către autorităţile, instituţiile sau organizaţiile prevăzute la art. 10 se permite doar
pentru scopul stabilit prin tratat ori, după caz, printr-un instrument juridic al
Uniunii Europene.

 

Art. 22

(1)În situaţiile prevăzute la art. 18 alin. (1), structurile/unităţile M.A.I., dispun
măsurile necesare pentru ca toate prelucrările de date cu caracter personal să fie
înregistrate în sistem într-un fişier de acces, în scopul monitorizării legalităţii
efectuării prelucrărilor.

(2)Sistemele de evidenţă sau mijloacele automate de prelucrare a datelor cu
caracter personal gestionate de către Structurile/unităţile M.A.I. trebuie să fie
configurate astfel încât să genereze fişierele de acces şi în situaţia în care
structurilor/unităţilor M.A.I. li se permite accesul direct în sistemele de evidenţă
gestionate de autorităţile, instituţiile sau organizaţiile prevăzute la art. 10.

(3)Fişierele de acces trebuie să cuprindă cel puţin data, ora exactă, motivul
prelucrării, datele de identificare a autorităţii, instituţiei sau, după caz, a
organizaţiei care a efectuat prelucrarea, precum şi codul de identificare a
utilizatorului care a efectuat prelucrarea. Dacă este cazul, fişierele de acces pot
conţine şi datele cu caracter personal care au făcut obiectul prelucrării.

(4)Fişierele de acces pot fi utilizate doar în scopul verificării legalităţii prelucrării
sau pentru asigurarea securităţii datelor cu caracter personal.

 

Art. 23

La cerere, structurile/unităţile M.A.I. comunică, în termen de 15 zile, autorităţilor
competente în domeniul protecţiei datelor cu caracter personal din afara
teritoriului României, înregistrările referitoare la prelucrările efectuate în
sistemele de evidenţă gestionate de entităţile din statul a cărui autoritate a
formulat cererea.

 

CAPITOLUL VI: Drepturile persoanei vizate

 

Art. 24

(1)Structurile/Unităţile M.A.I. asigură condiţiile de exercitare a drepturilor
conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu
modificările şi completările ulterioare, şi a prezentei legi.

(2)Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevăzute
de Legea nr. 677/2001, cu modificările şi completările ulterioare, nu se aplică
pe perioada în care o asemenea măsură este necesară pentru evitarea
prejudicierii activităţilor specifice de prevenire, cercetare şi combatere a
infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, ca urmare a
cunoaşterii de persoana vizată a faptului că datele sale cu caracter personal sunt
prelucrate, sau este necesară pentru protejarea persoanei vizate ori a drepturilor
şi libertăţilor altor persoane, în cazul în care există date şi informaţii că aceste
drepturi şi libertăţi sunt puse în pericol.

(3)În cazul aplicării excepţiilor de la exercitarea drepturilor persoanei vizate,
prevăzute la alin. (2), acestea trebuie motivate în scris. Necomunicarea motivelor
este posibilă numai în măsura în care este necesară bunei desfăşurări a
activităţilor prevăzute la art. 1 alin. (1) sau pentru protejarea drepturilor şi
libertăţilor altor persoane decât persoana vizată.

(4)În toate situaţiile, persoana vizată va fi informată cu privire la dreptul de a se
adresa Autorităţii naţionale de supraveghere sau, după caz, instanţei de
judecată, care va decide dacă măsurile luate de structurile/unităţile M.A.I.,
conform prevederilor alin. (2), sunt întemeiate.

(5)În situaţia în care, în urma exercitării dreptului de acces sau a dreptului de
intervenţie, rezultă că datele cu caracter personal sunt inexacte, irelevante sau
înregistrate în mod abuziv, acestea vor fi şterse sau rectificate prin anexarea unui
document, încheiat în acest sens, la sistemul de evidenţă ale cărui date cu
caracter personal au suferit modificări, deţinut de structurile/unităţile M.A.I.

(6)Măsurile prevăzute la alin. (5) se aplică tuturor documentelor care au legătură
cu sistemul de evidenţă a datelor cu caracter personal. În cazul în care acestea
nu sunt efectuate imediat, se va avea în vedere realizarea lor cel mai târziu la
data prelucrării ulterioare a datelor cu caracter personal sau la o următoare
comunicare a acestora.

(7)În situaţia în care structurile/unităţile M.A.I. nu pot da curs cererilor formulate
în exercitarea dreptului de intervenţie în scopul rectificării, ştergerii ori, după caz,
blocării datelor cu caracter personal, transmit persoanei vizate un răspuns scris în
care sunt menţionate motivele care stau la baza imposibilităţii soluţionării
solicitării, precum şi faptul că aceasta are dreptul de a se adresa Autorităţii
naţionale de supraveghere sau, după caz, instanţei de judecată.

 

Art. 25

(1)În cazul în care structurile/unităţile M.A.I. formulează cereri pentru
comunicarea datelor cu caracter personal adresate unor autorităţi competente ori
entităţi de drept privat din afara teritoriului României, pot solicita ca persoana
vizată să nu fie informată cu privire la prelucrare numai dacă sunt aplicabile
dispoziţiile art. 24 alin. (2). La încetarea motivelor pentru care s-a formulat o
astfel de solicitare, structurile/unităţile M.A.I. informează în scris autoritatea
competentă ori entitatea de drept privat din afara teritoriului României cu privire
la faptul că persoana vizată, ale cărei date cu caracter personal au fost
comunicate, poate fi informată cu privire la această prelucrare.

(2)În cazul în care autorităţile competente ale unui stat membru solicită, cu
ocazia comunicărilor de date cu caracter personal de către structurile/unităţile
M.A.I., ca persoana vizată să nu fie informată, structurile/unităţile M.A.I. dispun
informarea persoanei vizate doar cu consimţământul autorităţii competente
solicitante.

 

Art. 26

În situaţia în care cererea persoanei vizate în contextul prelucrării datelor cu
caracter personal se referă la o prelucrare efectuată de către o autoritate
competentă ori entitate de drept privat din afara teritoriului României în
sistemele de evidenţă gestionate de structurile/unităţile M.A.I., prin derogare de
la prevederile art. 13 alin. (3), ale art. 14 alin. (3) şi ale art. 15 alin. (4) din
Legea nr. 677/2001, cu modificările şi completările ulterioare, i se răspunde
solicitantului cât mai curând posibil, dar nu mai târziu de 60 de zile de la data
primirii cererii. În acest termen, structurile/unităţile M.A.I. solicită informaţii
autorităţii competente ori entităţii de drept privat din afara teritoriului României
care a efectuat prelucrarea.

 

Art. 27

(1)În cazul în care exactitatea unor date cu caracter personal este contestată de
persoana vizată, iar exactitatea sau inexactitatea datelor respective nu se poate
stabili cu certitudine, acestora li se pot atribui referinţe. La cererea persoanei
vizate, atribuirea de referinţe este obligatorie.

(2)Datele cu caracter personal cărora le-au fost atribuite referinţe nu pot fi
comunicate decât în scopul stabilirii corectitudinii acestora.

(3)Referinţele atribuite potrivit alin. (1) pot fi înlăturate în unul dintre
următoarele cazuri:

a)la solicitarea ori cu acordul persoanei vizate, atunci când exactitatea sau, după
caz, inexactitatea datelor cu caracter personal a fost stabilită;

b)atunci când există o hotărâre a instanţei de judecată sau autorizarea Autorităţii
naţionale de supraveghere.

 

Art. 28

(1)Structurile/Unităţile M.A.I., în calitate de operatori, răspund pentru prejudiciul
cauzat persoanei vizate în urma unei prelucrări de date cu caracter personal,
chiar şi în situaţia în care prejudiciul a fost cauzat prin prelucrarea, în condiţiile
legii, a unor date cu caracter personal inexacte furnizate de o autoritate
competentă a unui stat membru.

(2)În situaţia în care structurile/unităţile M.A.I. sunt obligate, în condiţiile legii, la
plata unor despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a
prelucrării unor date cu caracter personal inexacte furnizate de o autoritate
competentă a unui stat membru, acestea sunt obligate să dispună măsurile
necesare pentru recuperarea sumelor plătite ca despăgubire de la autoritatea
care a furnizat datele respective.

(3)Pentru a se asigura îndeplinirea obligaţiei prevăzute la alin. (2),
structurile/unităţile M.A.I., care au plătit despăgubiri pentru prejudiciile cauzate
persoanei vizate ca urmare a prelucrării unor date cu caracter personal inexacte,
informează autoritatea competentă din statul membru care a furnizat aceste date
şi solicită rambursarea sumei plătite ca despăgubire. Cu această ocazie,
structurile/unităţile M.A.I. comunică faptul că prejudiciul a fost cauzat exclusiv ca
urmare a prelucrării, în condiţiile legii, a datelor inexacte furnizate de autoritatea
competentă din statul membru, şi nu din culpa structurii/unităţii M.A.I. care a
primit datele cu caracter personal şi anexează documente din care să rezulte:

a)că structura/unitatea M.A.I. a fost obligată la plata despăgubirii pentru
prejudiciile cauzate persoanei vizate şi că a plătit o sumă de bani;

b)că datele cu caracter personal ale persoanei vizate provin de la această
autoritate competentă din statul membru;

c)datele de identificare a contului în care urmează a fi virate sumele de bani.

(4)În situaţia în care structurilor/unităţilor M.A.I. li se solicită de către autorităţi
competente din statele membre rambursarea unor sume plătite de acestea ca
despăgubiri pentru prejudicii cauzate persoanelor vizate ca urmare a prelucrării
unor date cu caracter personal inexacte furnizate de structurile/unităţile M.A.I.,
înainte de plata sumelor solicitate, structurile/unităţile M.A.I. trebuie să verifice
dacă:

a)prejudiciul a fost cauzat exclusiv ca urmare a prelucrării datelor inexacte
furnizate în condiţiile indicate de structura/unitatea M.A.I., şi nu din culpa
autorităţii competente solicitante;

b)solicitarea este însoţită de documente din care să rezulte că autoritatea
competentă din statul membru a fost obligată la plata despăgubirii pentru
prejudiciile cauzate persoanei vizate ca urmare a furnizării de către
structurile/unităţile M.A.I. a unor informaţii inexacte şi că a plătit o sumă de bani.

 

CAPITOLUL VII: Încheierea operaţiunilor de prelucrare a datelor cu caracter personal

 

Art. 29

(1)Datele cu caracter personal stocate în îndeplinirea activităţilor prevăzute la
art. 1 alin. (1) se şterg sau se transformă în date anonime atunci când nu mai
sunt necesare scopurilor pentru care au fost colectate ori, după caz, se
blochează, în condiţiile legii. În situaţii justificate, datele pot fi trecute în evidenţă
pasivă şi stocate, pentru o perioadă care nu poate fi mai mare decât termenul de
stocare stabilit iniţial potrivit scopului în care au fost colectate.

(2)Înainte de ştergerea datelor cu caracter personal, potrivit alin. (1), şi dacă
activităţile prevăzute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoaşterea
faptului că datele cu caracter personal au fost colectate şi stocate, persoana
vizată trebuie informată atunci când colectarea şi stocarea datelor s-au efectuat
fără consimţământul său.

(3)În condiţiile prevăzute la alin. (2), informarea persoanei vizate se realizează
de structurile/unităţile M.A.I. care au colectat şi stocat datele cu caracter
personal ale acesteia, în termen de 15 zile de la momentul în care activităţile
prevăzute la art. 1 alin (1) nu mai pot fi prejudiciate sau, după caz, de la
momentul comunicării către aceste structuri/unităţi ale M.A.I. a unei soluţii de
neîncepere a urmăririi penale, clasare, scoatere de sub urmărire penală sau
încetare a urmăririi penale.

(4)Prin excepţie de la prevederile alin. (1), datele cu caracter personal pot fi
stocate şi după îndeplinirea scopurilor pentru care au fost colectate, dacă este
necesară păstrarea acestora. Evaluarea necesităţii stocării datelor după
îndeplinirea scopurilor pentru care au fost colectate se realizează, în special, în
următoarele situaţii:

a)datele sunt necesare în vederea terminării urmăririi penale într-un caz determinat;

b)nu există o hotărâre judecătorească definitivă;

c)nu a intervenit reabilitarea;

d)nu a intervenit prescripţia executării pedepsei;

e)nu a intervenit amnistia;

f)datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu
modificările şi completările ulterioare.

 

CAPITOLUL VIII: Securitatea datelor cu caracter personal

 

Art. 30

Structurile/Unităţile M.A.I. sunt obligate să ia toate măsurile necesare pentru a
asigura securitatea tehnică şi organizatorică adecvată a prelucrării datelor cu
caracter personal, astfel încât să prevină accesul, comunicarea sau distrugerea
neautorizată ori alterarea datelor. În acest scop, se au în vedere diferitele
caracteristici ale sistemelor de evidenţă a datelor cu caracter personal şi
conţinutul acestora.

 

CAPITOLUL IX: Dispoziţii finale

 

Art. 31

(1)Structurile/Unităţile M.A.I. care desfăşoară activităţile prevăzute la art. 1 alin.
(1) au obligaţia de a elabora reguli, dacă acestea nu sunt stabilite prin prevederi
legale exprese, cu privire la:

a)termenele de stocare a datelor cu caracter personal pe care le prelucrează;

b)verificările periodice asupra datelor cu caracter personal pentru ca acestea să
fie exacte, actuale şi complete;

c)ştergerea datelor cu caracter personal.

(2)În lipsa unor prevederi legale exprese care să stabilească regulile prevăzute la
alin. (1), structurile/unităţile M.A.I. care desfăşoară activităţile prevăzute la art. 1
alin. (1) au obligaţia ca, în termen de 30 de zile de la data intrării în vigoare a
prezentei legi, să stabilească aceste reguli, cu avizul Autorităţii naţionale de
supraveghere acordat în condiţiile legii.

 

Art. 32

Prevederile prezentei legi se completează cu dispoziţiile Legii nr. 677/2001, cu
modificările şi completările ulterioare.

12May/18

Legea nr. 82/2012

Legea nr. 82/2012 – retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului

 

CAPITOLUL I.- Dispozitii generale 

Art. 1. –

(1) Prezenta lege stabileste obligatia furnizorilor de retele publice de comunicatii electronice si a furnizorilor de servicii de comunicatii electronice destinate publicului de a retine anumite date generate sau prelucrate in cadrul activitatii lor pentru punerea acestora la dispozitia organelor de urmarire penala, instantelor de judecata si organelor de stat cu atributii in domeniul sigurantei nationale in scopul utilizarii lor in cadrul activitatilor de prevenire, de cercetare, de descoperire si de urmarire penala a infractiunilor grave sau pentru rezolvarea cauzelor cu persoane disparute ori pentru punerea in executare a unui mandat de arestare sau de executare a pedepsei.

(2) Prezenta lege se aplica datelor de trafic si de localizare a persoanelor fizice si a persoanelor juridice, precum si datelor necesare pentru identificarea unui abonat sau unui utilizator inregistrat.

(3) Prezenta lege se aplica doar datelor generate sau prelucrate ca urmare a unei comunicatii ori a unui serviciu de comunicatii si nu se aplica in ceea ce priveste continutul comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, in aceste cazuri fiind aplicabile prevederile Codului de procedura penala, precum si cele ale legilor speciale in materie.

(4) Punerea in aplicare a prevederilor prezentei legi se face cu respectarea dispozitiilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, precum si ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu modificarile si completarile ulterioare, precum si cu modificarile si completarile aduse prin prezenta lege.

Art. 2. –

(1) In intelesul prezentei legi, termenii si expresiile de mai jos au urmatoarele semnificatii:

a) date – informatiile privind traficul, localizarea, precum si informatiile necesare pentru identificarea unui abonat sau a unui utilizator;

b) utilizator – persoana fizica sau persoana juridica ce foloseste un serviciu de comunicatii electronice destinat publicului in scopuri personale sau profesionale, fara a fi in mod necesar abonat al acelui serviciu;

c) abonat – persoana fizica sau persoana juridica ce a incheiat un contract cu un furnizor de servicii de comunicatii electronice destinate publicului, in vederea furnizarii unor asemenea servicii;

d) serviciu de telefonie – apelul, inclusiv voce, mesagerie vocala, teleconferinta si transfer de date, serviciile suplimentare, inclusiv redirectionarea si transferul apelului si serviciile de mesagerie si multimedia, inclusiv serviciile de mesagerie scurta, serviciile multimedia imbunatatite;

e) infractiune grava – infractiunea care face parte din una dintre urmatoarele categorii:

1. infractiunile prevazute la art. 2 lit. b) din Legea nr. 39/2003 privind prevenirea si combaterea criminalitatii organizate, cu modificarile ulterioare, savarsite sau nu de un grup infractional organizat;

2. infractiunile prevazute in cap. IV din Legea nr. 535/2004 privind prevenirea si combaterea terorismului;

3. urmatoarele infractiuni prevazute de Codul penal, republicat, cu modificarile si completarile ulterioare: infractiuni contra sigurantei statului, pruncucidere, vatamare corporala grava, viol, talharie, act sexual cu un minor, distrugere, ultraj, evadare, inlesnirea evadarii, infractiunile de falsuri in inscrisuri, asociere pentru savarsirea de infractiuni, furt calificat sau inselaciune;

4. infractiunile de coruptie, infractiunile asimilate acestora, infractiunile in legatura directa cu infractiunile de coruptie sau cu cele asimilate acestora, precum si infractiunile impotriva intereselor financiare ale Uniunii Europene, prevazute de Legea nr. 78/2000 pentru prevenirea, descoperirea si sanctionarea faptelor de coruptie, cu modificarile si completarile ulterioare;

5. infractiunea de falsificare a unui instrument de plata electronica, prevazuta la art. 24 din Legea nr. 365/2002 privind comertul electronic, republicata;

6. infractiunile de evaziune fiscala, prevazute la art. 9 din Legea nr. 241/2005 pentru prevenirea si combaterea evaziunii fiscale, cu modificarile ulterioare;

7. infractiunea de pornografie infantila, prevazuta la art. 18 din Legea nr. 678/2001 privind prevenirea si combaterea traficului de persoane, cu modificarile si completarile ulterioare;

8. infractiunea de pornografie infantila prin sisteme informatice, prevazuta la art. 51 din Legea nr. 161/2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei, cu modificarile si completarile ulterioare;

f) identificatorul utilizatorului – codul unic de identificare alocat unei persoane care se aboneaza sau se inregistreaza la un serviciu de acces la internet ori la un serviciu de comunicatii prin internet;

g) identificatorul celulei – codul de identificare a celulei in care se initiaza sau se finalizeaza un apel de telefonie mobila;

h) apel telefonic nereusit – comunicarea in cadrul careia apelul telefonic a fost conectat, dar nu a primit raspuns sau a facut obiectul unei interventii din partea administratorului retelei;

i) apel neconectat – apelul initiat de la un terminal telefonic sau echipament cu acces la un serviciu de telefonie, dar care nu s-a finalizat tehnic, in sensul stabilirii unei conexiuni intre apelant si apelat.

(2) In tot cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art. 3 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, la art. 2 din Legea nr. 506/2004, cu modificarile si completarile ulterioare si cu modificarile si completarile aduse prin prezenta lege, precum si la art. 4 alin. (1) din Ordonanta de urgenta a Guvernului nr. 111/2011 privind comunicatiile electronice.

 


CAPITOLUL II.- Retinerea datelor 

 

Art. 3. –

(1) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a asigura, pe cheltuiala proprie, crearea si administrarea unor baze de date in format electronic, in vederea retinerii urmatoarelor categorii de date, in masura in care sunt generate sau prelucrate de acestia:

a) date necesare pentru urmarirea si identificarea sursei unei comunicari;

b) date necesare pentru identificarea destinatiei unei comunicari;

c) date necesare pentru a determina data, ora si durata comunicarii;

d) date necesare pentru identificarea tipului de comunicare;

e) date necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;

f) date necesare pentru identificarea locatiei echipamentului de comunicatii mobile.

(2) Datele prevazute la alin. (1) se retin si se pastreaza timp de 6 luni de la data efectuarii comunicarii.

(3) Cheltuielile legate de crearea si administrarea bazelor de date sunt deductibile fiscal.

Art. 4. – Datele necesare pentru urmarirea si identificarea sursei unei comunicari cuprind:

a) in cazul retelelor de telefonie fixa si de telefonie mobila: numarul de telefon apelant, precum si numele si adresa abonatului sau ale utilizatorului inregistrat;

b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet:

1. identificatorul alocat;

2. identificatorul de utilizator si numarul de telefon alocat pentru efectuarea oricarei comunicari prin reteaua publica de telefonie;

3. numele si adresa abonatului sau ale utilizatorului inregistrat, caruia i s-a alocat o adresa Internet Protocol, denumita in continuare adresa IP, un identificator de utilizator sau un numar de telefon, la momentul comunicarii.

Art. 5. – Datele necesare pentru identificarea destinatiei unei comunicari cuprind:

a) in cazul retelelor de telefonie fixa si de telefonie mobila:

1. numarul format sau apelat si, in cazurile care includ servicii suplimentare precum redirectionarea sau transferul apelului, numarul catre care este directionat apelul;

2. numele si adresa abonatului ori ale utilizatorului inregistrat;

b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet:

1. identificatorul utilizatorului sau numarul de telefon al destinatarului unui apel telefonic prin internet;

2. numele si adresa abonatului sau ale utilizatorului inregistrat si identificatorul utilizatorului destinatar al comunicarii.

Art. 6. – Datele necesare pentru determinarea datei, orei si a duratei comunicarii cuprind:

a) in cazul retelelor de telefonie fixa si de telefonie mobila: data si ora initierii si incheierii unei comunicari;

b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet:

1. data si ora conectarii si deconectarii de la serviciul de acces la internet, adresa IP alocata dinamic sau static unei comunicari de furnizorul de servicii de acces la internet, precum si identificatorul abonatului sau al utilizatorului inregistrat;

2. data si ora conectarii si deconectarii de la serviciul de posta electronica sau de telefonie prin internet.

Art. 7. – Datele necesare pentru identificarea tipului de comunicare cuprind:

a) in cazul retelelor de telefonie fixa si de telefonie mobila: informatii privind serviciul de telefonie utilizat;

b) in cazul comunicarilor prin serviciul de posta electronica si de telefonie prin internet: informatii privind serviciul de acces la internet utilizat.

Art. 8. – Datele necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament cuprind:

a) in cazul retelelor de telefonie fixa: numarul de telefon al apelantului si numarul de telefon al apelatului;

b) in cazul retelelor de telefonie mobila:

1. numarul de telefon al apelantului si numarul de telefon al apelatului;

2. identitatea internationala de abonat mobil, denumita in continuare IMSI, a apelantului;

3. identitatea internationala a echipamentului mobil, denumita in continuare IMEI, a apelantului;

4. identitatea IMSI a apelatului;

5. identitatea IMEI a apelatului;

6. in cazul serviciilor anonime preplatite: data si ora activarii initiale a serviciului, precum si identificatorul celulei de la care a fost activat serviciul;

c) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: numarul de telefon al apelantului in cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care initiaza comunicarea.

Art. 9. – Datele necesare pentru identificarea locatiei echipamentului de comunicatii mobile cuprind:

a) identificatorul celulei la inceputul comunicarii;

b) datele care permit stabilirea localizarii geografice a celulelor, prin referire la identificatorul acestora, pe durata in care datele comunicarii sunt retinute.

Art. 10. –

(1) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului, aflati sub jurisdictie romana, au obligatia retinerii datelor referitoare la un apel nereusit in cazul in care aceste date sunt generate sau prelucrate si stocate, in cazul serviciului de telefonie, ori inregistrate, in cazul serviciului de acces la internet in cadrul activitatii de furnizare a serviciilor respective.

(2) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului nu au obligatia retinerii datelor prevazute la art. 3 alin. (1) in cazul apelurilor neconectate.

Art. 11. –

(1) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului, pe langa datele retinute potrivit prezentei legi, pot retine si alte date necesare activitatii lor comerciale, si anume pentru facturare sau alte plati pentru interconectare, precum si alte date prelucrate potrivit legii, la cererea clientilor, in scopuri de comercializare ori in vederea furnizarii de servicii, numai cu acordul prealabil al persoanei ale carei date sunt prelucrate, cu respectarea prevederilor Legii nr. 506/2004, cu modificarile si completarile ulterioare, precum si cu modificarile si completarile aduse prin prezenta lege.

(2) Datele retinute potrivit alin. (1) sunt exceptate de la prevederile prezentei legi.

Art. 12. –

(1) In aplicarea prevederilor prezentei legi sunt interzise interceptarea si retinerea continutului comunicarii sau a informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, in aceste cazuri fiind aplicabile prevederile Codului de procedura penala si cele ale legilor speciale in materie.

(2) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a retine numai acele categorii de date enumerate la art. 3 alin. (1), care sunt generate sau prelucrate ca urmare a desfasurarii activitatilor proprii in conditiile legii.

(3) La sfarsitul perioadei de retinere, toate datele retinute exclusiv in temeiul prezentei legi, cu exceptia datelor accesate si retinute conform legii, puse la dispozitia autoritatilor prevazute la art. 1 alin. (1), trebuie distruse, prin proceduri ireversibile, la data expirarii termenului prevazut la art. 3 alin. (2). Procedura distrugerii datelor retinute conform prezentei legi va fi reglementata prin normele metodologice de aplicare a prezentei legi, aprobate prin hotarare a Guvernului.

Art. 13. – Activitatea de retinere a datelor se realizeaza cu respectarea urmatoarelor principii:

a) datele retinute trebuie sa fie de aceeasi calitate si trebuie supuse aceleiasi securitati si protectii ca si datele din retea;

b) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea protejarii acestora impotriva distrugerilor accidentale sau intentionate, alterarii ori pierderii accidentale, stocarii, prelucrarii, accesarii sau dezvaluirii neautorizate ori ilicite;

c) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea asigurarii faptului ca numai personalul autorizat in acest sens are acces la aceste date;

d) datele sunt distruse la expirarea termenului prevazut la art. 3 alin. (2), cu exceptia celor care au fost accesate si retinute.

Art. 14. –

(1) In situatia in care datele prevazute la art. 4-9 pot fi retinute de mai multi furnizori de servicii de comunicatii electronice destinate publicului si de retele publice de comunicatii electronice, activitatea de retinere a datelor se face doar la furnizorul care prelucreaza datele prevazute la art. 3.

(2) Activitatea de retinere a datelor prevazute la art. 4-9 poate fi desfasurata, acolo unde este tehnic posibil si in urma unei intelegeri contractuale, de un tert, in numele unui furnizor de servicii de comunicatii electronice destinate publicului si de retele publice de comunicatii electronice, cu respectarea prevederilor art. 19 si 20 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, ale Legii nr. 506/2004, cu modificarile si completarile ulterioare si cu modificarile si completarile aduse prin prezenta lege, precum si ale prezentei legi.

(3) Obligatia de retinere a datelor prevazute la art. 4-9 se aplica furnizorilor de servicii de comunicatii electronice destinate publicului si de retele publice de comunicatii electronice care aloca numerotatie, inclusiv in situatia portarii numerelor, in cazul serviciilor de telefonie fixa si mobila, respectiv adrese IP, in cazul serviciilor de date.

Art. 15. –

(1) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a colecta si de a transmite anual Ministerului Comunicatiilor si Societatii Informationale urmatoarele date statistice, in vederea urmaririi si controlului aplicarii prevederilor cuprinse in prezenta lege:

a) numarul cazurilor in care informatiile au fost furnizate organelor de urmarire penala, instantelor de judecata si organelor de stat cu atributii in domeniul securitatii nationale, in conformitate cu prevederile prezentei legi;

b) perioada de timp scursa intre data la care datele au fost retinute si data la care organele de urmarire penala, instantele de judecata sau organele de stat cu atributii in domeniul securitatii nationale au solicitat transmiterea acestor date;

c) numarul de cazuri in care solicitarile de date nu au putut fi indeplinite.

(2) Termenele pana la care trebuie transmise datele statistice se stabilesc prin normele metodologice de aplicare a prezentei legi.

(3) Ministerul Comunicatiilor si Societatii Informationale centralizeaza datele statistice primite de la furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului si transmite anual Comisiei Europene statisticile elaborate in baza acestora. Statisticile nu vor contine date cu caracter personal sau informatii clasificate.

Art. 16. –

(1) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia ca, la solicitarea organelor de urmarire penala, a instantelor de judecata si a organelor de stat cu atributii in domeniul securitatii nationale, formulata in aplicarea dispozitiilor Codului de procedura penala, precum si a celor din legile speciale in materie, sa transmita acestora, in cel mult 48 de ore de la data solicitarii, datele retinute potrivit prezentei legi.

(2) In cazul in care nu este posibila transmiterea informatiilor solicitate in termenul prevazut la alin. (1), furnizorii sunt obligati sa anunte solicitantul cu privire la motivul intarzierii si, in orice caz, sa transmita informatiile solicitate in cel mult 5 zile de la data solicitarii initiale.

(3) Solicitarile organelor de urmarire penala, ale instantelor de judecata si ale organelor de stat cu atributii in domeniul securitatii nationale se vor face cu invocarea temeiului legal existent si se vor transmite in format electronic, semnate cu semnatura electronica extinsa bazata pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat.

(4) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia sa asigure semnarea datelor solicitate, utilizand o semnatura electronica extinsa bazata pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat. Semnarea electronica a datelor se va face in mod automat in momentul extragerii lor din bazele de date prevazute la art. 3 alin. (1).

(5) Orice persoana autorizata care transmite date retinute in baza prezentei legi are obligatia sa semneze datele transmise, utilizand o semnatura electronica extinsa bazata pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat, asumandu-si astfel responsabilitatea in ceea ce priveste integritatea datelor transmise.

(6) Orice persoana autorizata care primeste date retinute in baza prezentei legi are obligatia sa verifice integritatea datelor primite si sa certifice aceasta integritate prin semnarea datelor, utilizand o semnatura electronica extinsa bazata pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat.

(7) Fiecare persoana care certifica datele sub semnatura electronica raspunde potrivit legii pentru integritatea si securitatea acestor date.

(8) Aplicarea prevederilor alin. (3)-(7) se face cu respectarea procedurilor stabilite prin normele metodologice de aplicare a prezentei legi.

Art. 17. – Daca in cauza s-a dispus o solutie de neincepere a urmaririi penale, de scoatere de sub urmarire penala, de incetare a urmaririi penale sau de clasare, procurorul este obligat ca in termen de 5 zile de la dispunerea solutiei sa instiinteze despre aceasta persoana ale carei date au fost vizate de solicitare.

Art. 18. –

(1) Organele de cercetare ale politiei judiciare au dreptul sa solicite datele retinute in baza prezentei legi doar cu aprobarea procurorului care supravegheaza sau efectueaza urmarirea penala ori a procurorului competent potrivit procedurii de dare in urmarire a persoanelor si cu aprobarea judecatorului competent.

(2) Judecatorul se pronunta cu privire la solicitarea procurorului de transmitere a datelor in 48 de ore, prin incheiere motivata, in camera de consiliu.

Art. 19. –

(1) Daca in cauza s-a dispus o solutie de neincepere a urmaririi penale, de scoatere de sub urmarire penala, de incetare a urmaririi penale sau de clasare, suportul pe care sunt stocate informatiile se arhiveaza la sediul parchetului, in locuri speciale, in plic sigilat, cu asigurarea confidentialitatii, si se pastreaza pana la indeplinirea termenului de prescriptie a raspunderii penale pentru fapta ce a format obiectul cauzei, cand se distruge, incheind un proces-verbal in acest sens.

(2) Daca in cauza instanta a pronuntat o hotarare de condamnare, de achitare sau de incetare a procesului penal, ramasa definitiva, datele retinute se arhiveaza odata cu dosarul cauzei, la sediul instantei, cu respectarea prevederilor legale privind arhivarea documentelor in forma electronica.

Art. 20. – Autoritatile competente sa monitorizeze aplicarea prevederilor prezentei legi sunt Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare A.N.S.P.D.C.P. si Autoritatea Nationala pentru Administrare si Reglementare in Comunicatii, denumita in continuare ANCOM.

CAPITOLUL III.- Contraventii si sanctiuni 

Art. 21. –

(1) Constituie contraventii si se sanctioneaza cu amenda de la 2.500 lei la 500.000 lei urmatoarele fapte:

a) neindeplinirea obligatiilor prevazute la art. 3 alin. (1);

b) neindeplinirea obligatiilor prevazute la art. 3 alin. (2);

c) neindeplinirea obligatiilor prevazute la art. 12 alin. (2) si (3);

d) nerespectarea principiilor prevazute la art. 13;

e) neindeplinirea obligatiilor prevazute la art. 16 alin. (1) si (2);

f) neindeplinirea obligatiilor prevazute la art. 25 alin. (4).

(2) Constatarea contraventiilor prevazute la alin. (1) lit. b), c), d) si e), precum si aplicarea sanctiunilor se efectueaza de catre personalul de control imputernicit in acest scop al A.N.S.P.D.C.P.

(3) Constatarea contraventiilor prevazute la alin. (1) lit. a) si f) si aplicarea sanctiunilor se fac de persoane imputernicite in acest sens din cadrul ANCOM.

(4) Contraventiilor prevazute la alin. (1) le sunt aplicabile dispozitiile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare.

Art. 22. –

(1) Orice accesare intentionata, alterare sau transfer al datelor retinute in baza prezentei legi, fara autorizare, constituie infractiune si se pedepseste cu inchisoare de la unu la 5 ani.

(2) Tentativa se pedepseste.

Art. 23. – Nerespectarea obligatiei de comunicare in termenul prevazut la art. 17 atrage raspunderea penala, in conditiile legii.

CAPITOLUL IV.- Dispozitii finale 

Art. 24. – La data intrarii in vigoare a prezentei legi, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 1.101 din 25 noiembrie 2004, cu modificarile si completarile ulterioare, se modifica si se completeaza dupa cum urmeaza:

1. La articolul 5, alineatele (1) si (6) se modifica si vor avea urmatorul cuprins:

“Art. 5. – (1) Datele de trafic referitoare la abonati si utilizatori inregistrati, prelucrate si retinute de catre furnizorul unei retele publice de comunicatii electronice sau de catre furnizorul unui serviciu de comunicatii electronice destinat publicului, trebuie sa fie sterse sau transformate in date anonime atunci cand nu mai sunt necesare la transmiterea unei comunicari, cu exceptia situatiilor prevazute la alin. (2), (3) si (5). 
………………………………………………………………………………… 
(6) Prevederile alin. (1)-(3) si (5) nu aduc atingere posibilitatii organelor de urmarire penala, instantelor de judecata si organelor de stat cu atributii in domeniul securitatii nationale de a avea acces la datele de trafic, in conditiile legii.” 

2. La articolul 8, dupa alineatul (5) se introduce un nou alineat, alineatul (6), cu urmatorul cuprins:

“(6) Dispozitiile prezentului articol nu aduc atingere posibilitatii organelor de urmarire penala, instantelor de judecata si organelor de stat cu atributii in domeniul securitatii nationale de a avea acces la datele generate sau prelucrate si pastrate de furnizorii de retele publice de comunicatii si de furnizorii de servicii de comunicatii electronice destinate publicului, in conditiile legii.” 

Art. 25. –

(1) Prezenta lege intra in vigoare la 3 zile de la data publicarii in Monitorul Oficial al Romaniei, Partea I, cu exceptia prevederilor art. 12 alin. (3) si art. 16 alin. (3)-(8), care intra in vigoare la 90 de zile de la data publicarii prezentei legi in Monitorul Oficial al Romaniei, Partea I, si a prevederilor art. 21 alin. (1) lit. a) si e), care intra in vigoare la 6 luni de la data publicarii prezentei legi in Monitorul Oficial al Romaniei, Partea I.

(2) In termen de 3 luni de la intrarea in vigoare a prezentei legi potrivit alin. (1) teza I, Guvernul, la propunerea Ministerului Comunicatiilor si Societatii Informationale, Ministerului Administratiei si Internelor si Ministerului Justitiei, aproba prin hotarare normele metodologice de aplicare a prezentei legi.

(3) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului vor duce la indeplinire obligatia prevazuta la art. 3 alin. (1) si (2), cel mai tarziu in termen de 6 luni de la intrarea in vigoare a prezentei legi.

(4) Pana la implinirea termenului de 6 luni prevazut la alin. (3), furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a informa ANCOM, la cerere, cu privire la actiunile intreprinse in vederea crearii bazelor de date prevazute la art. 3 alin. (1).

(5) Pana la implinirea termenului de 90 de zile prevazut la alin. (1), solicitarile organelor de urmarire penala, instantelor de judecata si organelor de stat cu atributii in domeniul securitatii nationale se vor face cu respectarea dispozitiilor legale in vigoare.

Art. 26. – La intrarea in vigoare a Legii nr. 286/2009 privind Codul penal, cu modificarile si completarile ulterioare, art. 2 alin. (1) lit. e) din prezenta lege se modifica si va avea urmatorul cuprins:

“e) infractiune grava – infractiunea care face parte din una dintre urmatoarele categorii: 
1. infractiunile prevazute la art. 2 lit. b) din Legea nr. 39/2003 privind prevenirea si combaterea criminalitatii organizate, cu modificarile ulterioare, savarsite sau nu de un grup infractional organizat; 
2. infractiunile prevazute in cap. IV din Legea nr. 535/2004 privind prevenirea si combaterea terorismului; 
3. urmatoarele infractiuni prevazute de Legea nr. 286/2009 privind Codul penal, cu modificarile si completarile ulterioare: infractiunile contra securitatii nationale a statului, uciderea ori vatamarea nou-nascutului savarsita de catre mama, vatamare corporala, viol, talharie si talharie calificata, actul sexual cu un minor, distrugerea si distrugerea calificata, ultrajul, evadarea si inlesnirea evadarii, infractiunile de falsuri in inscrisuri, constituirea unui grup infractional organizat, furtul calificat, inselaciunea si inselaciunea privind asigurarile, falsificarea de titluri de credit sau instrumente de plata atunci cand priveste un instrument de plata electronica, santajul si pornografia infantila; 
4. infractiunile de coruptie, infractiunile asimilate acestora, precum si infractiunile impotriva intereselor financiare ale Uniunii Europene, prevazute de Legea nr. 78/2000 pentru prevenirea, descoperirea si sanctionarea faptelor de coruptie, cu modificarile si completarile ulterioare; 
5. infractiuni de evaziune fiscala prevazute la art. 9 din Legea nr. 241/2005 pentru prevenirea si combaterea evaziunii fiscale, cu modificarile ulterioare.” 

Art. 27. – La intrarea in vigoare a Legii nr. 135/2010 privind Codul de procedura penala, sintagma “solutia de neincepere a urmaririi penale, de scoatere de sub urmarire penala, de incetare a urmaririi penale sau de clasare” din prezenta lege va fi inlocuita cu sintagma “solutia de clasare sau renuntare la urmarire penala”, iar sintagma “hotarare de condamnare, achitare sau incetare a procesului penal” din prezenta lege va fi inlocuita cu sintagma “hotarare de condamnare, renuntare la aplicarea pedepsei, amanare a aplicarii pedepsei, achitarea sau incetarea procesului penal”.

Aceasta lege a fost adoptata de Parlamentul Romaniei, cu respectarea prevederilor art. 75 si ale art. 76 alin. (1) din Constitutia Romaniei, republicata.

PRESEDINTELE CAMEREI DEPUTATILOR, ROBERTA ALMA ANASTASE

PRESEDINTELE SENATULUI, VASILE BLAGA

Bucuresti, 13 iunie 2012.

01Ene/14

Lege nr. 677 din 21 noiembrie 2001

LEGE Nr. 677 din 21 noiembrie 2001

Pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date Parlamentul României adopta prezenta lege.

Textul iniţial a fost publicat în Monitorul Oficial nr. 790 din 12 decembrie 2001,  cu modificările şi completările aduse de: Legea nr. 102 din 3 mai 2005; Legea nr. 278
din 15 octombrie 2007.

 

CAPITOLUL I: Dispozitii generale

 

Art. 1: Scop

(1) Prezenta lege are ca scop garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, în special a dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter personal.

(2) Exercitarea drepturilor prevazute în prezenta lege nu poate fi restrânsa decât în cazuri expres si limitativ prevazute de lege.

 

Art. 2: Domeniu de aplicare

(1) Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum si prelucrarii prin alte mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse într-un asemenea sistem.

(2) Prezenta lege se aplica:

a) prelucrarilor de date cu caracter personal, efectuate în cadrul activitatilor desfasurate de operatori stabiliti în România;

b) prelucrarilor de date cu caracter personal, efectuate în cadrul activitatilor desfasurate de misiunile diplomatice sau de oficiile consulare ale României;

c) prelucrarilor de date cu caracter personal, efectuate în cadrul activitatilor desfasurate de operatori care nu sunt stabiliti în România, prin utilizarea de mijloace de orice natura situate pe teritoriul României, cu exceptia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitarii pe teritoriul României a datelor cu caracter personal care fac obiectul prelucrarilor respective.

(3) În cazul prevazut la alin. (2) lit. c) operatorul îsi va desemna un reprezentant care trebuie sa fie o persoana stabilita în România. Prevederile prezentei legi aplicabile operatorului sunt aplicabile si reprezentantului acestuia, fara a aduce atingere posibilitatii de a introduce actiune în justitie direct împotriva operatorului.

(4) Prezenta lege se aplica prelucrarilor de date cu caracter personal efectuate de persoane fizice sau juridice, române ori straine, de drept public sau de drept privat, indiferent daca au loc în sectorul public sau în sectorul privat.

(5) În limitele prevazute de prezenta lege, aceasta se aplica si prelucrarilor si transferului de date cu caracter personal, efectuate în cadrul activitatilor de prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii publice, precum si al altor activitati desfasurate în domeniul dreptului penal, în limitele si cu restrictiile stabilite de lege.

(6) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, daca datele în cauza nu sunt destinate a fi dezvaluite.

(7) Prezenta lege nu se aplica prelucrarilor si transferului de date cu caracter personal, efectuate în cadrul activitatilor în domeniul apararii nationale si sigurantei nationale, desfasurate în limitele si cu restrictiile stabilite de lege.

(8) Prevederile prezentei legi nu aduc atingere obligatiilor asumate de România prin instrumente juridice ratificate.

 

Art. 3: Definitii
În întelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:

a) date cu caracter personal – orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, în mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;

b) prelucrarea datelor cu caracter personal – orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau în orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;

c) stocarea – pastrarea pe orice fel de suport a datelor cu caracter personal culese;

d) sistem de evidenta a datelor cu caracter personal – orice structura organizata de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent daca aceasta structura este organizata în mod centralizat ori descentralizat sau este repartizata dupa criterii functionale ori geografice;

e) operator – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau în baza acelui act normativ;

f) persoana împuternicita de catre operator – o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;

g) tert – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, alta decât persoana vizata, operatorul ori persoana împuternicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei împuternicite, sunt autorizate sa prelucreze date;

h) destinatar – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, careia îi sunt dezvaluite date, indiferent daca este sau nu tert; autoritatile publice carora li se comunica date în cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;

i) date anonime – date care, datorita originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.

 

CAPITOLUL II: Reguli generale privind prelucrarea datelor cu caracter personal

 

Art. 4: Caracteristicile datelor cu caracter personal în cadrul prelucrarii

(1) Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:

a) prelucrate cu buna-credinta si în conformitate cu dispozitiile legale în vigoare;

b) colectate în scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal în scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute de normele care reglementeaza activitatea statistica ori cercetarea istorica sau stiintifica;

c) adecvate, pertinente si neexcesive prin raportare la scopul în care sunt colectate si ulterior prelucrate;

d) exacte si, daca este cazul, actualizate; în acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate;

e) stocate într-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor în care datele sunt colectate si în care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decât cea mentionata, în scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute în normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri.

(2) Operatorii au obligatia sa respecte prevederile alin. (1) si sa asigure îndeplinirea acestor prevederi de catre persoanele împuternicite.

 

Art. 5: Conditii de legitimitate privind prelucrarea datelor

(1) Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuata numai daca persoana vizata si-a dat consimtamântul în mod expres si neechivoc pentru acea prelucrare.

(2) Consimtamântul persoanei vizate nu este cerut în urmatoarele cazuri:

a) când prelucrarea este necesara în vederea executarii unui contract sau antecontract la care persoana vizata este parte ori în vederea luarii unor masuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;

b) când prelucrarea este necesara în vederea protejarii vietii, integritatii fizice sau sanatatii persoanei vizate ori a unei alte persoane amenintate;

c) când prelucrarea este necesara în vederea îndeplinirii unei obligatii legale a operatorului;

d) când prelucrarea este necesara în vederea aducerii la îndeplinire a unor masuri de interes public sau care vizeaza exercitarea prerogativelor de autoritate publica cu care este învestit operatorul sau tertul caruia îi sunt dezvaluite datele;

e) când prelucrarea este necesara în vederea realizarii unui interes legitim al operatorului sau al tertului caruia îi sunt dezvaluite datele, cu conditia ca acest interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale persoanei vizate;

f) când prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;

g) când prelucrarea este facuta exclusiv în scopuri statistice, de cercetare istorica sau stiintifica, iar datele ramân anonime pe toata durata prelucrarii.

(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.

 

Art. 6: Încheierea operatiunilor de prelucrare

(1) La încheierea operatiunilor de prelucrare, daca persoana vizata nu si-a dat în mod expres si neechivoc consimtamântul pentru o alta destinatie sau pentru o prelucrare ulterioara, datele cu caracter personal vor fi:

a) distruse;

b) transferate unui alt operator, cu conditia ca operatorul initial sa garanteze faptul ca prelucrarile ulterioare au scopuri similare celor în care s-a facut prelucrarea initiala;

c) transformate în date anonime si stocate exclusiv în scopuri statistice, de cercetare istorica sau stiintifica.

(2) În cazul operatiunilor de prelucrare efectuate în conditiile prevazute la art. 5 alin. (2) lit. c) sau d), în cadrul activitatilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesara realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.

 

CAPITOLUL III: Reguli speciale privind prelucrarea datelor cu caracter personal

 

Art. 7: Prelucrarea unor categorii speciale de date

(1) Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa.

(2) Prevederile alin. (1) nu se aplica în urmatoarele cazuri:

a) când persoana vizata si-a dat în mod expres consimtamântul pentru o astfel de prelucrare;

b) când prelucrarea este necesara în scopul respectarii obligatiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a operatorului în acest sens sau daca persoana vizata a consimtit expres la aceasta dezvaluire;

c) când prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a sanatatii persoanei vizate ori a altei persoane, în cazul în care persoana vizata se afla în incapacitate fizica sau juridica de a-si da consimtamântul;

d) când prelucrarea este efectuata în cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana vizata sa fie membra a acestei organizatii sau sa întretina cu aceasta, în mod regulat, relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamântul persoanei vizate;

e) când prelucrarea se refera la date facute publice în mod manifest de catre persoana vizata;

f) când prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept în justitie;

g) când prelucrarea este necesara în scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza în interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente în ceea ce priveste secretul;

h) când legea prevede în mod expres aceasta în scopul protejarii unui interes public important, cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta lege.

(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.

(4) Autoritatea de supraveghere poate dispune, din motive întemeiate, interzicerea efectuarii unei prelucrari de date din categoriile prevazute la alin. (1), chiar daca persoana vizata si-a dat în scris si în mod neechivoc consimtamântul, iar acest consimtamânt nu a fost retras, cu conditia ca interdictia prevazuta la alin. (1) sa nu fie înlaturata prin unul dintre cazurile la care se refera alin. (2) lit. b)-g).

 

Art. 8: Prelucrarea datelor cu caracter personal având functie de identificare

(1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o functie de identificare de aplicabilitate generala poate fi efectuata numai daca:

a) persoana vizata si-a dat în mod expres consimtamântul; sau

b) prelucrarea este prevazuta în mod expres de o dispozitie legala.

(2) Autoritatea de supraveghere poate stabili si alte cazuri în care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.

 

Art. 9: Prelucrarea datelor cu caracter personal privind starea de sanatate

(1) În afara cazurilor prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplica în privinta prelucrarii datelor privind starea de sanatate în urmatoarele cazuri:

a) daca prelucrarea este necesara pentru protectia sanatatii publice;

b) daca prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savârsirii unei fapte penale sau pentru împiedicarea producerii rezultatului unei asemenea fapte ori pentru înlaturarea urmarilor prejudiciabile ale unei asemenea fapte.

(2) Prelucrarea datelor privind starea de sanatate poate fi efectuata numai de catre ori sub supravegherea unui cadru medical, cu conditia respectarii secretului profesional, cu exceptia situatiei în care persoana vizata si-a dat în scris si în mod neechivoc consimtamântul atâta timp cât acest consimtamânt nu a fost retras, precum si cu exceptia situatiei în care prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savârsirii unei fapte penale, pentru împiedicarea producerii rezultatului unei asemenea fapte sau pentru înlaturarea urmarilor sale prejudiciabile.

(3) Cadrele medicale, institutiile de sanatate si personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sanatate, fara autorizatia autoritatii de supraveghere, numai daca prelucrarea este necesara pentru protejarea vietii, integritatii fizice sau sanatatii persoanei vizate. Când scopurile mentionate se refera la alte persoane sau la public în general si persoana vizata nu si-a dat consimtamântul în scris si în mod neechivoc, trebuie ceruta si obtinuta în prealabil autorizatia autoritatii de supraveghere. Prelucrarea datelor cu caracter personal în afara limitelor prevazute în autorizatie este interzisa.

(4) Cu exceptia motivelor de urgenta, autorizatia prevazuta la alin. (3) poate fi acordata numai dupa ce a fost consultat Colegiul Medicilor din România.

(5) Datele cu caracter personal privind starea de sanatate pot fi colectate numai de la persoana vizata. Prin exceptie, aceste date pot fi colectate din alte surse numai în masura în care este necesar pentru a nu compromite scopurile prelucrarii, iar persoana vizata nu vrea ori nu le poate furniza.

 

Art. 10: Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contraventii

(1) Prelucrarea datelor cu caracter personal referitoare la savârsirea de infractiuni de catre persoana vizata ori la condamnari penale, masuri de siguranta sau sanctiuni administrative ori contraventionale, aplicate persoanei vizate, poate fi efectuata numai de catre sau sub controlul autoritatilor publice, în limitele puterilor ce le sunt conferite prin lege si în conditiile stabilite de legile speciale care reglementeaza aceste materii.

(2) Autoritatea de supraveghere poate stabili si alte cazuri în care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.

(3) Un registru complet al condamnarilor penale poate fi tinut numai sub controlul unei autoritati publice, în limitele puterilor ce îi sunt conferite prin lege.

 

Art. 11: Exceptii
Prevederile art. 5, 6, 7 si 10 nu se aplica în situatia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, daca prelucrarea priveste date cu caracter personal care au fost facute publice în mod manifest de catre persoana vizata sau care sunt strâns legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor în care este implicata.

 

CAPITOLUL IV: Drepturile persoanei vizate în contextul prelucrarii datelor cu caracter personal

 

Art. 12: Informarea persoanei vizate

(1) În cazul în care datele cu caracter personal sunt obtinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului în care aceasta persoana poseda deja informatiile respective:

a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;

b) scopul în care se face prelucrarea datelor;

c) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile în care pot fi exercitate;

d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinând seama de specificul prelucrarii.

(2) În cazul în care datele nu sunt obtinute direct de la persoana vizata, operatorul este obligat ca, în momentul colectarii datelor sau, daca se intentioneaza dezvaluirea acestora catre terti, cel mai târziu pâna în momentul primei dezvaluiri, sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului în care persoana vizata poseda deja informatiile respective:

a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;

b) scopul în care se face prelucrarea datelor;

c) informatii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevazute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile în care pot fi exercitate;

d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinând seama de specificul prelucrarii.

(3) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectueaza exclusiv în scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.

(4) Prevederile alin. (2) nu se aplica în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorica sau stiintifica, ori în orice alte situatii în care furnizarea unor asemenea informatii se dovedeste imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum si în situatiile în care înregistrarea sau dezvaluirea datelor este expres prevazuta de lege.

 

Art. 13: Dreptul de acces la date

(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si în mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situatia în care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, împreuna cu confirmarea, cel putin urmatoarele:

a) informatii referitoare la scopurile prelucrarii, categoriile de date avute în vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele;

b) comunicarea într-o forma inteligibila a datelor care fac obiectul prelucrarii, precum si a oricarei informatii disponibile cu privire la originea datelor;

c) informatii asupra principiilor de functionare a mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva;

d) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de opozitie, precum si conditiile în care pot fi exercitate;

e) informatii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevazut la art. 24, de a înainta plângere catre autoritatea de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor operatorului, în conformitate cu dispozitiile prezentei legi.

(2) Persoana vizata poate solicita de la operator informatiile prevazute la alin. (1), printr-o cerere întocmita în forma scrisa, datata si semnata. În cerere solicitantul poate arata daca doreste ca informatiile sa îi fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.

(3) Operatorul este obligat sa comunice informatiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).

(4) În cazul datelor cu caracter personal legate de starea de sanatate, cererea prevazuta la alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele careia este introdusa. La cererea operatorului sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi facuta prin intermediul unui cadru medical desemnat de persoana vizata.

(5) În cazul în care datele cu caracter personal legate de starea de sanatate sunt prelucrate în scop de cercetare stiintifica, daca nu exista, cel putin aparent, riscul de a se aduce atingere drepturilor persoanei vizate si daca datele nu sunt utilizate pentru a lua decizii sau masuri fata de o anumita persoana, comunicarea prevazuta la alin. (3) se poate face si într-un termen mai mare decât cel prevazut la acel alineat, în masura în care aceasta ar putea afecta bunul mers sau rezultatele cercetarii, si nu mai târziu de momentul în care cercetarea este încheiata. În acest caz persoana vizata trebuie sa îsi fi dat în mod expres si neechivoc consimtamântul ca datele sa fie prelucrate în scop de cercetare stiintifica, precum si asupra posibilei amânari a comunicarii prevazute la alin. (3) din acest motiv.

(6) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectueaza exclusiv în scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.

 

Art. 14: Dreptul de interventie asupra datelor

(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si în mod gratuit:

a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este conforma prezentei legi, în special a datelor incomplete sau inexacte;

b) dupa caz, transformarea în date anonime a datelor a caror prelucrare nu este conforma prezentei legi;

c) notificarea catre tertii carora le-au fost dezvaluite datele a oricarei operatiuni efectuate conform lit. a) sau b), daca aceasta notificare nu se dovedeste imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat.

(2) Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata va înainta operatorului o cerere întocmita în forma scrisa, datata si semnata. În cerere solicitantul poate arata daca doreste ca informatiile sa îi fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.

(3) Operatorul este obligat sa comunice masurile luate în temeiul alin. (1), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).

 

Art. 15: Dreptul de opozitie

(1) Persoana vizata are dreptul de a se opune în orice moment, din motive întemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor în care exista dispozitii legale contrare. În caz de opozitie justificata prelucrarea nu mai poate viza datele în cauza.

(2) Persoana vizata are dreptul de a se opune în orice moment, în mod gratuit si fara nici o justificare, ca datele care o vizeaza sa fie prelucrate în scop de marketing direct, în numele operatorului sau al unui tert, sau sa fie dezvaluite unor terti într-un asemenea scop.

(3) În vederea exercitarii drepturilor prevazute la alin. (1) si (2) persoana vizata va înainta operatorului o cerere întocmita în forma scrisa, datata si semnata. În cerere solicitantul poate arata daca doreste ca informatiile sa îi fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.

(4) Operatorul este obligat sa comunice persoanei vizate masurile luate în temeiul alin. (1) sau (2), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).

 

Art. 16: Exceptii

(1) Prevederile art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica în cazul activitatilor prevazute la art. 2 alin. (5), daca prin aplicarea acestora este prejudiciata eficienta actiunii sau obiectivul urmarit în îndeplinirea atributiilor legale ale autoritatii publice.

(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesara atingerii obiectivului urmarit prin desfasurarea activitatilor mentionate la art. 2 alin. (5).

(3) Dupa încetarea situatiei care justifica aplicarea alin. (1) si (2) operatorii care desfasoara activitatile prevazute la art. 2 alin. (5) vor lua masurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.

(4) Autoritatile publice tin evidenta unor astfel de cazuri si informeaza periodic autoritatea de supraveghere despre modul de solutionare a lor.

 

Art. 17: Dreptul de a nu fi supus unei decizii individuale

(1) Orice persoana are dreptul de a cere si de a obtine:

a) retragerea sau anularea oricarei decizii care produce efecte juridice în privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu caracter personal, efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale personalitatii sale, precum competenta profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte;

b) reevaluarea oricarei alte decizii luate în privinta sa, care o afecteaza în mod semnificativ, daca decizia a fost adoptata exclusiv pe baza unei prelucrari de date care întruneste conditiile prevazute la lit. a).

(2) Respectându-se celelalte garantii prevazute de prezenta lege, o persoana poate fi supusa unei decizii de natura celei vizate la alin. (1), numai în urmatoarele situatii:

a) decizia este luata în cadrul încheierii sau executarii unui contract, cu conditia ca cererea de încheiere sau de executare a contractului, introdusa de persoana vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum posibilitatea de a-si sustine punctul de vedere, sa garanteze apararea propriului interes legitim;

b) decizia este autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului legitim al persoanei vizate.

 

Art. 18: Dreptul de a se adresa justitiei

(1) Fara a se aduce atingere posibilitatii de a se adresa cu plângere autoritatii de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege, care le-au fost încalcate.

(2) Orice persoana care a suferit un prejudiciu în urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.

(3) Instanta competenta este cea în a carei raza teritoriala domiciliaza reclamantul. Cererea de chemare în judecata este scutita de taxa de timbru.

 

CAPITOLUL V: Confidentialitatea si securitatea prelucrarilor

 

Art. 19: Confidentialitatea prelucrarilor
Orice persoana care actioneaza sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicita, care are acces la date cu caracter personal, nu poate sa le prelucreze decât pe baza instructiunilor operatorului, cu exceptia cazului în care actioneaza în temeiul unei obligatii legale.

 

Art. 20: Securitatea prelucrarilor

(1) Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, în special daca prelucrarea respectiva comporta transmisii de date în cadrul unei retele, precum si împotriva oricarei alte forme de prelucrare ilegala.

(2) Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare si de costuri, un nivel de securitate adecvat în ceea ce priveste riscurile pe care le reprezinta prelucrarea, precum si în ceea ce priveste natura datelor care trebuie protejate. Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic, corespunzator progresului tehnic si experientei acumulate.

(3) Operatorul, atunci când desemneaza o persoana împuternicita, este obligat sa aleaga o persoana care prezinta suficiente garantii în ceea ce priveste masurile de securitate tehnica si organizatorice cu privire la prelucrarile ce vor fi efectuate, precum si sa vegheze la respectarea acestor masuri de catre persoana desemnata.

(4) Autoritatea de supraveghere poate decide, în cazuri individuale, asupra obligarii operatorului la adoptarea unor masuri suplimentare de securitate, cu exceptia celor care privesc garantarea securitatii serviciilor de telecomunicatii.

(5) Efectuarea prelucrarilor prin persoane împuternicite trebuie sa se desfasoare în baza unui contract încheiat în forma scrisa, care va cuprinde în mod obligatoriu:

a) obligatia persoanei împuternicite de a actiona doar în baza instructiunilor primite de la operator;

b) faptul ca îndeplinirea obligatiilor prevazute la alin. (1) revine si persoanei împuternicite.

 

CAPITOLUL VI: Supravegherea si controlul prelucrarilor de date cu caracter personal

 

Art. 21: Autoritatea de supraveghere

(1) Autoritatea de supraveghere, în sensul prezentei legi, este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
(Modificat de pct. 1 al art. 22 din Legea nr. 102 din 3 mai 2005, publicată în Monitorul Oficial nr. 391 din 9 mai 2005).

(2) Autoritatea de supraveghere îsi desfasoara activitatea în conditii de completa independenta si impartialitate.

(3) Autoritatea de supraveghere monitorizeaza si controleaza sub aspectul legalitatii prelucrarile de date cu caracter personal care cad sub incidenta prezentei legi.
În acest scop autoritatea de supraveghere exercita urmatoarele atributii:

a) elaboreaza formularele tipizate ale notificarilor si ale registrelor proprii;

b) primeste si analizeaza notificarile privind prelucrarea datelor cu caracter personal, anuntând operatorului rezultatele controlului prealabil;

c) autorizeaza prelucrarile de date în situatiile prevazute de lege;

d) poate dispune, în cazul în care constata încalcarea dispozitiilor prezentei legi, suspendarea provizorie sau încetarea prelucrarii datelor, stergerea partiala ori integrala a datelor prelucrate si poate sa sesiseze organele de urmarire penala sau sa intenteze actiuni în justitie;

d 1) informează persoanele fizice sau/şi juridice care activează în aceste domenii, în mod direct sau prin intermediul structurilor asociative ale acestora, asupra necesităţii respectării obligaţiilor şi îndeplinirii procedurilor prevăzute de prezenta lege;
(Introdusă de pct. 2 al art. 22 din Legea nr. 102 din 3 mai 2005, publicată în Monitorul Oficial nr. 391 din 9 mai 2005).

e) pastreaza si pune la dispozitie publicului registrul de evidenta a prelucrarilor de date cu caracter personal;

f) primeste si solutioneaza plângeri, sesizari sau cereri de la persoanele fizice si comunica solutia data ori, dupa caz, diligentele depuse;

g) efectueaza investigatii din oficiu sau la primirea unor plângeri ori sesizari;

h) este consultata atunci când se elaboreaza proiecte de acte normative referitoare la protectia drepturilor si libertatilor persoanelor, în privinta prelucrarii datelor cu caracter personal;

i) poate face propuneri privind initierea unor proiecte de acte normative sau modificarea actelor normative în vigoare în domenii legate de prelucrarea datelor cu caracter personal;

j) coopereaza cu autoritatile publice si cu organele administratiei publice, centralizeaza si analizeaza rapoartele anuale de activitate ale acestora privind protectia persoanelor în privinta prelucrarii datelor cu caracter personal, formuleaza recomandari si avize asupra oricarei chestiuni legate de protectia drepturilor si libertatilor fundamentale în privinta prelucrarii datelor cu caracter personal, la cererea oricarei persoane, inclusiv a autoritatilor publice si a organelor administratiei publice; aceste recomandari si avize trebuie sa faca mentiune despre temeiurile pe care se sprijina si se comunica în copie si Ministerului Justitiei; atunci când recomandarea sau avizul este cerut de lege, se publica în Monitorul Oficial al României, Partea I;

k) coopereaza cu autoritatile similare de peste hotare în vederea asistentei mutuale, precum si cu persoanele cu domiciliul sau cu sediul în strainatate, în scopul apararii drepturilor si libertatilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;

l) îndeplineste alte atributii prevazute de lege.

m) modul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal se stabileşte prin lege.
(Introdusă de pct. 3 al art. 22 din Legea nr. 102 din 3 mai 2005, publicată în Monitorul Oficial nr. 391 din 9 mai 2005).

(4) Întregul personal al autoritatii de supraveghere are obligatia de a pastra secretul profesional, cu exceptiile prevazute de lege, pe termen nelimitat, asupra informatiilor confidentiale sau clasificate la care are sau a avut acces în exercitarea atributiilor de serviciu, inclusiv dupa încetarea raporturilor juridice cu autoritatea de supraveghere.

 

Art. 22: Notificarea catre autoritatea de supraveghere

(1) Operatorul este obligat sa notifice autoritatii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari având acelasi scop sau scopuri corelate.

(2) Notificarea nu este necesara în cazul în care prelucrarea are ca unic scop tinerea unui registru destinat prin lege informarii publicului si deschis spre consultare publicului în general sau oricarei persoane care probeaza un interes legitim, cu conditia ca prelucrarea sa se limiteze la datele strict necesare tinerii registrului mentionat.

(3) Notificarea va cuprinde cel putin urmatoarele informatii:

a) numele sau denumirea si domiciliul ori sediul operatorului si ale reprezentantului desemnat al acestuia, daca este cazul;

b) scopul sau scopurile prelucrarii;

c) o descriere a categoriei sau a categoriilor de persoane vizate si a datelor ori a categoriilor de date ce vor fi prelucrate;

d) destinatarii sau categoriile de destinatari carora se intentioneaza sa li se dezvaluie datele;

e) garantiile care însotesc dezvaluirea datelor catre terti;

f) modul în care persoanele vizate sunt informate asupra drepturilor lor; data estimata pentru încheierea operatiunilor de prelucrare, precum si destinatia ulterioara a datelor;

g) transferuri de date care se intentioneaza sa fie facute catre alte state;

h) o descriere generala care sa permita aprecierea preliminara a masurilor luate pentru asigurarea securitatii prelucrarii;

i) specificarea oricarui sistem de evidenta a datelor cu caracter personal, care are legatura cu prelucrarea, precum si a eventualelor legaturi cu alte prelucrari de date sau cu alte sisteme de evidenta a datelor cu caracter personal, indiferent daca se efectueaza, respectiv daca sunt sau nu sunt situate pe teritoriul României;

j) motivele care justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), în situatia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice ori în scopuri statistice, de cercetare istorica sau stiintifica.

(4) Daca notificarea este incompleta, autoritatea de supraveghere va solicita completarea acesteia

(5) În limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita si alte informatii, în special privind originea datelor, tehnologia de prelucrare automata utilizata si detalii referitoare la masurile de securitate. Dispozitiile prezentului alineat nu se aplica în situatia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice.

(6) Daca se intentioneaza ca datele care sunt prelucrate sa fie transferate în strainatate, notificarea va cuprinde si urmatoarele elemente:
a) categoriile de date care vor face obiectul transferului;
b) tara de destinatie pentru fiecare categorie de date.

(7) Notificarea este supusa unei taxe care trebuie platita de operator autoritatii de supraveghere. (Alin. (7) al art. 22 a fost abrogat de pct. 2 al articolului unic din Legea nr. 278 din 15 octombrie 2007, publicată în Monitorul Oificial nr. 708 din 19 octombrie 2007)

(8) Autoritatile publice care efectueaza prelucrari de date cu caracter personal în legatura cu activitatile descrise la art. 2 alin. (5), în temeiul legii sau în îndeplinirea obligatiilor asumate prin acorduri internationale ratificate, sunt scutite de taxa prevazuta la alin. (7). Notificarea se va transmite în termen de 15 zile de la intrarea în vigoare a actului normativ care instituie obligatia respectiva si va cuprinde numai urmatoarele elemente:

a) denumirea si sediul operatorului;

b) scopul si temeiul legal al prelucrarii;

c) categoriile de date cu caracter personal supuse prelucrarii.

(9) Autoritatea de supraveghere poate stabili si alte situatii în care notificarea nu este necesara, în afara celei prevazute la alin. (2), sau situatii în care notificarea se poate efectua într-o forma simplificata, precum si continutul acesteia, numai în unul dintre urmatoarele cazuri:

a) atunci când, luând în considerare natura datelor destinate sa fie prelucrate, prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor vizate, cu conditia sa precizeze expres scopurile în care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari carora datele le pot fi dezvaluite si perioada pentru care datele pot fi stocate;

b) atunci când prelucrarea se efectueaza în conditiile art. 7 alin. (2) lit. d).

 

Art. 23: Controlul prealabil

(1) Autoritatea de supraveghere va stabili categoriile de operatiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor.

(2) Daca pe baza notificarii autoritatea de supraveghere constata ca prelucrarea se încadreaza în una dintre categoriile mentionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil începerii prelucrarii respective, cu anuntarea operatorului.

(3) Operatorii care nu au fost anuntati în termen de 5 zile de la data notificarii despre efectuarea unui control prealabil pot începe prelucrarea.

(4) În situatia prevazuta la alin. (2) autoritatea de supraveghere este obligata ca, în termen de cel mult 30 de zile de la data notificarii, sa aduca la cunostinta operatorului rezultatul controlului efectuat, precum si decizia emisa în urma acestuia.

 

Art. 24: Registrul de evidenta a prelucrarilor de date cu caracter personal

(1) Autoritatea de supraveghere pastreaza un registru de evidenta a prelucrarilor de date cu caracter personal, notificate în conformitate cu prevederile art. 22. Registrul va cuprinde toate informatiile prevazute la art. 22 alin. (3).

(2) Fiecare operator primeste un numar de înregistrare. Numarul de înregistrare trebuie mentionat pe orice act prin care datele sunt colectate, stocate sau dezvaluite.

(3) Orice schimbare de natura sa afecteze exactitatea informatiilor înregistrate va fi comunicata autoritatii de supraveghere în termen de 5 zile. Autoritatea de supraveghere va dispune de îndata efectuarea mentiunilor corespunzatoare în registru.

(4) Activitatile de prelucrare a datelor cu caracter personal, începute anterior intrarii în vigoare a prezentei legi, vor fi notificate în vederea înregistrarii în termen de 15 zile de la data intrarii în vigoare a prezentei legi.

(5) Registrul de evidenta a prelucrarilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileste de autoritatea de supraveghere.

 

Art. 25: Plângeri adresate autoritatii de supraveghere

(1) În vederea apararii drepturilor prevazute de prezenta lege persoanele ale caror date cu caracter personal fac obiectul unei prelucrari care cade sub incidenta prezentei legi pot înainta plângere catre autoritatea de supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana lezata poate împuternici o asociatie sau o fundatie sa îi reprezinte interesele.

(2) Plângerea catre autoritatea de supraveghere nu poate fi înaintata daca o cerere în justitie, având acelasi obiect si aceleasi parti, a fost introdusa anterior.

(3) În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent si ireparabil, plângerea catre autoritatea de supraveghere nu poate fi înaintata mai devreme de 15 zile de la înaintarea unei plângeri cu acelasi continut catre operator.

(4) În vederea solutionarii plângerii, daca apreciaza ca este necesar, autoritatea de supraveghere poate audia persoana vizata, operatorul si, daca este cazul, persoana împuternicita sau asociatia ori fundatia care reprezinta interesele persoanei vizate. Aceste persoane au dreptul de a înainta cereri, documente si memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.

(5) Daca plângerea este gasita întemeiata, autoritatea de supraveghere poate decide oricare dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdictia temporara a prelucrarii poate fi instituita numai pâna la încetarea motivelor care au determinat luarea acestei masuri. (Alin. (5) al art. 27 a fost abrogat de pct. 4 al art. 22 din LEGEA nr. 102 din 3 mai 2005, publicată în Monitorul Oficial nr. 391 din 9 mai 2005). 

(6) Decizia trebuie motivata si se comunica partilor interesate în termen de 30 de zile de la data primirii plângerii.

(7) Autoritatea de supraveghere poate ordona, daca apreciaza necesar, suspendarea unora sau tuturor operatiunilor de prelucrare pâna la solutionarea plângerii în conditiile alin. (5).

(8) Autoritatea de supraveghere se poate adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege persoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucuresti. Cererea de chemare în judecata este scutita de taxa de timbru.

(9) La cererea persoanelor vizate, pentru motive întemeiate, instanta poate dispune suspendarea prelucrarii pâna la solutionarea plângerii de catre autoritatea de supraveghere.

(10) Prevederile alin. (4)-(9) se aplica în mod corespunzator si în situatia în care autoritatea de supraveghere afla pe orice alta cale despre savârsirea unei încalcari a drepturilor recunoscute de prezenta lege persoanelor vizate.

 

Art. 26: Contestarea deciziilor autoritatii de supraveghere

(1) Împotriva oricarei decizii emise de autoritatea de supraveghere în temeiul dispozitiilor prezentei legi operatorul sau persoana vizata poate formula contestatie în termen de 15 zile de la comunicare, sub sanctiunea decaderii, la instanta de contencios administrativ competenta. Cererea se judeca de urgenta, cu citarea partilor. Solutia este definitiva si irevocabila.

(2) Fac exceptie de la prevederile alin. (1), precum si de la cele ale art. 23 si 25 prelucrarile de date cu caracter personal, efectuate în cadrul activitatilor prevazute la art. 2 alin. (5).

 

Art. 27: Exercitarea atributiilor de investigare

(1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plângeri, orice încalcare a drepturilor persoanelor vizate, respectiv a obligatiilor care revin operatorilor si, dupa caz, persoanelor împuternicite, în cadrul efectuarii prelucrarilor de date cu caracter personal, în scopul apararii drepturilor si libertatilor fundamentale ale persoanelor vizate.

(2) Atributiile de investigare nu pot fi exercitate de catre autoritatea de supraveghere în cazul în care o cerere în justitie introdusa anterior are ca obiect savârsirea aceleiasi încalcari a drepturilor si opune aceleasi parti.

(3) În exercitarea atributiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informatii legate de prelucrarea datelor cu caracter personal si poate verifica orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal.

(4) Secretul de stat si secretul profesional nu pot fi invocate pentru a împiedica exercitarea atributiilor acordate prin prezenta lege autoritatii de supraveghere. Atunci când este invocata protectia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligatia de a pastra secretul.

(5) Daca exercitarea atributiei de investigare a autoritatii de supraveghere are ca obiect o prelucrare de date cu caracter personal, efectuata de autoritatile publice în legatura cu activitatile descrise la art. 2 alin. (5) pentru un caz concret, este necesara obtinerea acordului prealabil al procurorului sau al instantei competente.

 

Art. 28: Norme de conduita

(1) Asociatiile profesionale au obligatia de a elabora si de a supune spre avizare autoritatii de supraveghere coduri de conduita care sa contina norme adecvate pentru protectia drepturilor persoanelor ale caror date cu caracter personal pot fi prelucrate de catre membrii acestora.

(2) Normele de conduita trebuie sa prevada masuri si proceduri care sa asigure un nivel satisfacator de protectie, tinând seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune masuri si proceduri specifice pentru perioada în care normele de conduita la care s-a facut referire anterior nu sunt adoptate.

 

CAPITOLUL VII: Transferul în strainatate al datelor cu caracter personal

 

Art. 29: Conditiile transferului în strainatate al datelor cu caracter personal

(1) Transferul catre un alt stat de date cu caracter personal care fac obiectul unei prelucrari sau sunt destinate sa fie prelucrate dupa transfer poate avea loc numai în conditiile în care nu se încalca legea româna, iar statul catre care se intentioneaza transferul asigura un nivel de protectie adecvat.

(2) Nivelul de protectie va fi apreciat de catre autoritatea de supraveghere, tinând seama de totalitatea împrejurarilor în care se realizeaza transferul de date, în special având în vedere natura datelor transmise, scopul prelucrarii si durata propusa pentru prelucrare, statul de origine si statul de destinatie finala, precum si legislatia statului solicitant. În cazul în care autoritatea de supraveghere constata ca nivelul de protectie oferit de statul de destinatie este nesatisfacator, poate dispune interzicerea transferului de date.

(3) În toate situatiile transferul de date cu caracter personal catre un alt stat va face obiectul unei notificari prealabile a autoritatii de supraveghere.

(4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal catre un stat a carui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de legea româna atunci când operatorul ofera garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sa fie stabilite prin contracte încheiate între operatori si persoanele fizice sau juridice din dispozitia carora se efectueaza transferul.

(5) Prevederile alin. (2), (3) si (4) nu se aplica daca transferul datelor se face în baza prevederilor unei legi speciale sau ale unui acord international ratificat de România, în special daca transferul se face în scopul prevenirii, cercetarii sau reprimarii unei infractiuni.

(6) Prevederile prezentului articol nu se aplica atunci când prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, daca datele au fost facute publice în mod manifest de catre persoana vizata sau sunt strâns legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor în care este implicata.

 

Art. 30: Situatii în care transferul este întotdeauna permis
Transferul de date este întotdeauna permis în urmatoarele situatii:

a) când persoana vizata si-a dat în mod explicit consimtamântul pentru efectuarea transferului; în cazul în care transferul de date se face în legatura cu oricare dintre datele prevazute la art. 7, 8 si 10, consimtamântul trebuie dat în scris;

b) când este necesar pentru executarea unui contract încheiat între persoana vizata si operator sau pentru executarea unor masuri precontractuale dispuse la cererea persoanei vizate;

c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator si un tert;

d) când este necesar pentru satisfacerea unui interes public major, precum apararea nationala, ordinea publica sau siguranta nationala, pentru buna desfasurare a procesului penal ori pentru constatarea, exercitarea sau apararea unui drept în justitie, cu conditia ca datele sa fie prelucrate în legatura cu acest scop si nu mai mult timp decât este necesar;

e) când este necesar pentru a proteja viata, integritatea fizica sau sanatatea persoanei vizate;

f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informatii care pot fi obtinute din registre sau prin orice alte documente accesibile publicului.

 

CAPITOLUL VIII: Contraventii si sanctiuni

 

Art. 31: Omisiunea de a notifica si notificarea cu rea-credinta
Omisiunea de a efectua notificarea în conditiile art. 22 sau ale art. 29 alin. (3) în situatiile în care aceasta notificare este obligatorie, precum si notificarea incompleta sau care contine informatii false constituie contraventii, daca nu sunt savârsite în astfel de conditii încât sa constituie infractiuni, si se sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei.

 

Art. 32: Prelucrarea nelegala a datelor cu caracter personal
Prelucrarea datelor cu caracter personal de catre un operator sau de o persoana împuternicita de acesta, cu încalcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevazute la art. 12-15 sau la art. 17, constituie contraventie, daca nu este savârsita în astfel de conditii încât sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000 lei.

 

Art. 33: Neîndeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate
Neîndeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor, prevazute la art. 19 si 20, constituie contraventie, daca nu este savârsita în astfel de conditii încât sa constituie infractiune, si se sanctioneaza cu amenda de la 15.000.000 lei la 500.000.000 lei.

 

Art. 34: Refuzul de a furniza informatii
Refuzul de a furniza autoritatii de supraveghere informatiile sau documentele cerute de aceasta în exercitarea atributiilor de investigare prevazute la art. 27 constituie contraventie, daca nu este savârsita în astfel de conditii încât sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 150.000.000 lei.

 

Art. 35: Constatarea contraventiilor si aplicarea sanctiunilor

(1) Constatarea contraventiilor si aplicarea sanctiunilor se efectueaza de catre autoritatea de supraveghere, care poate delega aceste atributii unor persoane recrutate din rândul personalului sau, precum si de reprezentanti împuterniciti ai organelor cu atributii de supraveghere si control, abilitate potrivit legii.

(2) Dispozitiile prezentei legi referitoare la contraventii se completeaza cu prevederile Ordonantei Guvernului Nr. 2/2001 privind regimul juridic al contraventiilor, în masura în care prezenta lege nu dispune altfel.

(3) Împotriva proceselor-verbale de constatare si sanctionare se poate face plângere la sectiile de contencios administrativ ale tribunalelor.

 

CAPITOLUL IX: Dispozitii finale

 

Art. 36: Intrarea în vigoare
Prezenta lege intra în vigoare la data publicarii ei în Monitorul Oficial al României, Partea I, si se pune în aplicare în termen de 3 luni de la intrarea sa în vigoare.
Aceasta lege a fost adoptata de Senat în sedinta din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia României.

 

PRESEDINTELE SENATULUI
NICOLAE VACAROIU

Aceasta lege a fost adoptata de Camera Deputatilor în sedinta din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia României.

 

PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU

 

Publicata în Monitorul Oficial cu numarul 790 din data de 12 decembrie 2001