Legea nr. 677/2001

legea_677.doc

LEGE Nr. 677 din 21 noiembrie 2001

pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date

EMITENT: PARLAMENTUL

PUBLICATÃ ÎN: MONITORUL OFICIAL NR. 790 din 12 decembrie 2001

Parlamentul României adoptã prezenta lege.

CAP. 1

Dispozitii generale

ART. 1

Scop

(1) Prezenta lege are ca scop garantarea si protejarea drepturilor si libertãtilor fundamentale ale persoanelor fizice, în special a dreptului la viata intimã, familialã si privatã, cu privire la prelucrarea datelor cu caracter personal.

(2) Exercitarea drepturilor prevãzute în prezenta lege nu poate fi restrânsã decât în cazuri expres si limitativ prevãzute de lege.

ART. 2

Domeniu de aplicare

(1) Prezenta lege se aplicã prelucrãrilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum si prelucrãrii prin alte mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidentã sau care sunt destinate sã fie incluse într-un asemenea sistem.

(2) Prezenta lege se aplicã:

a) prelucrãrilor de date cu caracter personal, efectuate în cadrul activitãtilor desfãsurate de operatori stabiliti în România;

b) prelucrãrilor de date cu caracter personal, efectuate în cadrul activitãtilor desfãsurate de misiunile diplomatice sau de oficiile consulare ale României;

c) prelucrãrilor de date cu caracter personal, efectuate în cadrul activitãtilor desfãsurate de operatori care nu sunt stabiliti în România, prin utilizarea de mijloace de orice naturã situate pe teritoriul României, cu exceptia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitãrii pe teritoriul României a datelor cu caracter personal care fac obiectul prelucrãrilor respective.

(3) În cazul prevãzut la alin. (2) lit. c) operatorul îsi va desemna un reprezentant care trebuie sã fie o persoanã stabilitã în România. Prevederile prezentei legi aplicabile operatorului sunt aplicabile si reprezentantului acestuia, fãrã a aduce atingere posibilitãtii de a introduce actiune în justitie direct împotriva operatorului.

(4) Prezenta lege se aplicã prelucrãrilor de date cu caracter personal efectuate de persoane fizice sau juridice, române ori strãine, de drept public sau de drept privat, indiferent dacã au loc în sectorul public sau în sectorul privat.

(5) În limitele prevãzute de prezenta lege, aceasta se aplicã si prelucrãrilor si transferului de date cu caracter personal, efectuate în cadrul activitãtilor de prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii publice, precum si al altor activitãti desfãsurate în domeniul dreptului penal, în limitele si cu restrictiile stabilite de lege.

(6) Prezenta lege nu se aplicã prelucrãrilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, dacã datele în cauzã nu sunt destinate a fi dezvãluite.

(7) Prezenta lege nu se aplicã prelucrãrilor si transferului de date cu caracter personal, efectuate în cadrul activitãtilor în domeniul apãrãrii nationale si sigurantei nationale, desfãsurate în limitele si cu restrictiile stabilite de lege.

(8) Prevederile prezentei legi nu aduc atingere obligatiilor asumate de România prin instrumente juridice ratificate.

ART. 3

Definitii

În întelesul prezentei legi, urmãtorii termeni se definesc dupã cum urmeazã:

a) date cu caracter personal - orice informatii referitoare la o persoanã fizicã identificatã sau identificabilã; o persoanã identificabilã este acea persoanã care poate fi identificatã, direct sau indirect, în mod particular prin referire la un numãr de identificare ori la unul sau la mai multi factori specifici identitãtii sale fizice, fiziologice, psihice, economice, culturale sau sociale;

b) prelucrarea datelor cu caracter personal - orice operatiune sau set de operatiuni care se efectueazã asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvãluirea cãtre terti prin transmitere, diseminare sau în orice alt mod, alãturarea ori combinarea, blocarea, stergerea sau distrugerea;

c) stocarea - pãstrarea pe orice fel de suport a datelor cu caracter personal culese;

d) sistem de evidentã a datelor cu caracter personal - orice structurã organizatã de date cu caracter personal, accesibilã potrivit unor criterii determinate, indiferent dacã aceastã structurã este organizatã în mod centralizat ori descentralizat sau este repartizatã dupã criterii functionale ori geografice;

e) operator - orice persoanã fizicã sau juridicã, de drept privat ori de drept public, inclusiv autoritãtile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal; dacã scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizicã sau juridicã, de drept public ori de drept privat, care este desemnatã ca operator prin acel act normativ sau în baza acelui act normativ;

f) persoanã împuternicitã de cãtre operator - o persoanã fizicã sau juridicã, de drept privat ori de drept public, inclusiv autoritãtile publice, institutiile si structurile teritoriale ale acestora, care prelucreazã date cu caracter personal pe seama operatorului;

g) tert - orice persoanã fizicã sau juridicã, de drept privat ori de drept public, inclusiv autoritãtile publice, institutiile si structurile teritoriale ale acestora, alta decât persoana vizatã, operatorul ori persoana împuternicitã sau persoanele care, sub autoritatea directã a operatorului sau a persoanei împuternicite, sunt autorizate sã prelucreze date;

h) destinatar - orice persoanã fizicã sau juridicã, de drept privat ori de drept public, inclusiv autoritãtile publice, institutiile si structurile teritoriale ale acestora, cãreia îi sunt dezvãluite date, indiferent dacã este sau nu tert; autoritãtile publice cãrora li se comunicã date în cadrul unei competente speciale de anchetã nu vor fi considerate destinatari;

i) date anonime - date care, datoritã originii sau modalitãtii specifice de prelucrare, nu pot fi asociate cu o persoanã identificatã sau identificabilã.

CAP. 2

Reguli generale privind prelucrarea datelor cu caracter personal

ART. 4

Caracteristicile datelor cu caracter personal în cadrul prelucrãrii

(1) Datele cu caracter personal destinate a face obiectul prelucrãrii trebuie sã fie:

a) prelucrate cu bunã-credintã si în conformitate cu dispozitiile legale în vigoare;

b) colectate în scopuri determinate, explicite si legitime; prelucrarea ulterioarã a datelor cu caracter personal în scopuri statistice, de cercetare istoricã sau stiintificã nu va fi consideratã incompatibilã cu scopul colectãrii dacã se efectueazã cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea notificãrii cãtre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevãzute de normele care reglementeazã activitatea statisticã ori cercetarea istoricã sau stiintificã;

c) adecvate, pertinente si neexcesive prin raportare la scopul în care sunt colectate si ulterior prelucrate;

d) exacte si, dacã este cazul, actualizate; în acest scop se vor lua mãsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sã fie sterse sau rectificate;

e) stocate într-o formã care sã permitã identificarea persoanelor vizate strict pe durata necesarã realizãrii scopurilor în care datele sunt colectate si în care vor fi ulterior prelucrate; stocarea datelor pe o duratã mai mare decât cea mentionatã, în scopuri statistice, de cercetare istoricã sau stiintificã, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevãzute în normele care reglementeazã aceste domenii, si numai pentru perioada necesarã realizãrii acestor scopuri.

(2) Operatorii au obligatia sã respecte prevederile alin. (1) si sã asigure îndeplinirea acestor prevederi de cãtre persoanele împuternicite.

ART. 5

Conditii de legitimitate privind prelucrarea datelor

(1) Orice prelucrare de date cu caracter personal, cu exceptia prelucrãrilor care vizeazã date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuatã numai dacã persoana vizatã si-a dat consimtãmântul în mod expres si neechivoc pentru acea prelucrare.

(2) Consimtãmântul persoanei vizate nu este cerut în urmãtoarele cazuri:

a) când prelucrarea este necesarã în vederea executãrii unui contract sau antecontract la care persoana vizatã este parte ori în vederea luãrii unor mãsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;

b) când prelucrarea este necesarã în vederea protejãrii vietii, integritãtii fizice sau sãnãtãtii persoanei vizate ori a unei alte persoane amenintate;

c) când prelucrarea este necesarã în vederea îndeplinirii unei obligatii legale a operatorului;

d) când prelucrarea este necesarã în vederea aducerii la îndeplinire a unor mãsuri de interes public sau care vizeazã exercitarea prerogativelor de autoritate publicã cu care este învestit operatorul sau tertul cãruia îi sunt dezvãluite datele;

e) când prelucrarea este necesarã în vederea realizãrii unui interes legitim al operatorului sau al tertului cãruia îi sunt dezvãluite datele, cu conditia ca acest interes sã nu prejudicieze interesul sau drepturile si libertãtile fundamentale ale persoanei vizate;

f) când prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;

g) când prelucrarea este fãcutã exclusiv în scopuri statistice, de cercetare istoricã sau stiintificã, iar datele rãmân anonime pe toatã durata prelucrãrii.

(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeazã obligatia autoritãtilor publice de a respecta si de a ocroti viata intimã, familialã si privatã.

ART. 6

Încheierea operatiunilor de prelucrare

(1) La încheierea operatiunilor de prelucrare, dacã persoana vizatã nu si-a dat în mod expres si neechivoc consimtãmântul pentru o altã destinatie sau pentru o prelucrare ulterioarã, datele cu caracter personal vor fi:

a) distruse;

b) transferate unui alt operator, cu conditia ca operatorul initial sã garanteze faptul cã prelucrãrile ulterioare au scopuri similare celor în care s-a fãcut prelucrarea initialã;

c) transformate în date anonime si stocate exclusiv în scopuri statistice, de cercetare istoricã sau stiintificã.

(2) În cazul operatiunilor de prelucrare efectuate în conditiile prevãzute la art. 5 alin. (2) lit. c) sau d), în cadrul activitãtilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesarã realizãrii scopurilor concrete urmãrite, cu conditia asigurãrii unor mãsuri corespunzãtoare de protejare a acestora, dupã care va proceda la distrugerea lor dacã nu sunt aplicabile prevederile legale privind pãstrarea arhivelor.

CAP. 3

Reguli speciale privind prelucrarea datelor cu caracter personal

ART. 7

Prelucrarea unor categorii speciale de date

(1) Prelucrarea datelor cu caracter personal legate de originea rasialã sau etnicã, de convingerile politice, religioase, filozofice sau de naturã similarã, de apartenenta sindicalã, precum si a datelor cu caracter personal privind starea de sãnãtate sau viata sexualã este interzisã.

(2) Prevederile alin. (1) nu se aplicã în urmãtoarele cazuri:

a) când persoana vizatã si-a dat în mod expres consimtãmântul pentru o astfel de prelucrare;

b) când prelucrarea este necesarã în scopul respectãrii obligatiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garantiilor prevãzute de lege; o eventualã dezvãluire cãtre un tert a datelor prelucrate poate fi efectuatã numai dacã existã o obligatie legalã a operatorului în acest sens sau dacã persoana vizatã a consimtit expres la aceastã dezvãluire;

c) când prelucrarea este necesarã pentru protectia vietii, integritãtii fizice sau a sãnãtãtii persoanei vizate ori a altei persoane, în cazul în care persoana vizatã se aflã în incapacitate fizicã sau juridicã de a-si da consimtãmântul;

d) când prelucrarea este efectuatã în cadrul activitãtilor sale legitime de cãtre o fundatie, asociatie sau de cãtre orice altã organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana vizatã sã fie membrã a acestei organizatii sau sã întretinã cu aceasta, în mod regulat, relatii care privesc specificul activitãtii organizatiei si ca datele sã nu fie dezvãluite unor terti fãrã consimtãmântul persoanei vizate;

e) când prelucrarea se referã la date fãcute publice în mod manifest de cãtre persoana vizatã;

f) când prelucrarea este necesarã pentru constatarea, exercitarea sau apãrarea unui drept în justitie;

g) când prelucrarea este necesarã în scopuri de medicinã preventivã, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizatã ori de gestionare a serviciilor de sãnãtate care actioneazã în interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sã fie efectuate de cãtre ori sub supravegherea unui cadru medical supus secretului profesional sau de cãtre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente în ceea ce priveste secretul;

h) când legea prevede în mod expres aceasta în scopul protejãrii unui interes public important, cu conditia ca prelucrarea sã se efectueze cu respectarea drepturilor persoanei vizate si a celorlalte garantii prevãzute de prezenta lege.

(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeazã obligatia autoritãtilor publice de a respecta si de a ocroti viata intimã, familialã si privatã.

(4) Autoritatea de supraveghere poate dispune, din motive întemeiate, interzicerea efectuãrii unei prelucrãri de date din categoriile prevãzute la alin. (1), chiar dacã persoana vizatã si-a dat în scris si în mod neechivoc consimtãmântul, iar acest consimtãmânt nu a fost retras, cu conditia ca interdictia prevãzutã la alin. (1) sã nu fie înlãturatã prin unul dintre cazurile la care se referã alin. (2) lit. b) - g).

ART. 8

Prelucrarea datelor cu caracter personal având functie de identificare

(1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o functie de identificare de aplicabilitate generalã poate fi efectuatã numai dacã:

a) persoana vizatã si-a dat în mod expres consimtãmântul; sau

b) prelucrarea este prevãzutã în mod expres de o dispozitie legalã.

(2) Autoritatea de supraveghere poate stabili si alte cazuri în care se poate efectua prelucrarea datelor prevãzute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.

ART. 9

Prelucrarea datelor cu caracter personal privind starea de sãnãtate

(1) În afara cazurilor prevãzute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplicã în privinta prelucrãrii datelor privind starea de sãnãtate în urmãtoarele cazuri:

a) dacã prelucrarea este necesarã pentru protectia sãnãtãtii publice;

b) dacã prelucrarea este necesarã pentru prevenirea unui pericol iminent, pentru prevenirea sãvârsirii unei fapte penale sau pentru împiedicarea producerii rezultatului unei asemenea fapte ori pentru înlãturarea urmãrilor prejudiciabile ale unei asemenea fapte.

(2) Prelucrarea datelor privind starea de sãnãtate poate fi efectuatã numai de cãtre ori sub supravegherea unui cadru medical, cu conditia respectãrii secretului profesional, cu exceptia situatiei în care persoana vizatã si-a dat în scris si în mod neechivoc consimtãmântul atâta timp cât acest consimtãmânt nu a fost retras, precum si cu exceptia situatiei în care prelucrarea este necesarã pentru prevenirea unui pericol iminent, pentru prevenirea sãvârsirii unei fapte penale, pentru împiedicarea producerii rezultatului unei asemenea fapte sau pentru înlãturarea urmãrilor sale prejudiciabile.

(3) Cadrele medicale, institutiile de sãnãtate si personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sãnãtate, fãrã autorizatia autoritãtii de supraveghere, numai dacã prelucrarea este necesarã pentru protejarea vietii, integritãtii fizice sau sãnãtãtii persoanei vizate. Când scopurile mentionate se referã la alte persoane sau la public în general si persoana vizatã nu si-a dat consimtãmântul în scris si în mod neechivoc, trebuie cerutã si obtinutã în prealabil autorizatia autoritãtii de supraveghere. Prelucrarea datelor cu caracter personal în afara limitelor prevãzute în autorizatie este interzisã.

(4) Cu exceptia motivelor de urgentã, autorizatia prevãzutã la alin. (3) poate fi acordatã numai dupã ce a fost consultat Colegiul Medicilor din România.

(5) Datele cu caracter personal privind starea de sãnãtate pot fi colectate numai de la persoana vizatã. Prin exceptie, aceste date pot fi colectate din alte surse numai în mãsura în care este necesar pentru a nu compromite scopurile prelucrãrii, iar persoana vizatã nu vrea ori nu le poate furniza.

ART. 10

Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contraventii

(1) Prelucrarea datelor cu caracter personal referitoare la sãvârsirea de infractiuni de cãtre persoana vizatã ori la condamnãri penale, mãsuri de sigurantã sau sanctiuni administrative ori contraventionale, aplicate persoanei vizate, poate fi efectuatã numai de cãtre sau sub controlul autoritãtilor publice, în limitele puterilor ce le sunt conferite prin lege si în conditiile stabilite de legile speciale care reglementeazã aceste materii.

(3) Un registru complet al condamnãrilor penale poate fi tinut numai sub controlul unei autoritãti publice, în limitele puterilor ce îi sunt conferite prin lege.

ART. 11

Exceptii

Prevederile art. 5, 6, 7 si 10 nu se aplicã în situatia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacã prelucrarea priveste date cu caracter personal care au fost fãcute publice în mod manifest de cãtre persoana vizatã sau care sunt strâns legate de calitatea de persoanã publicã a persoanei vizate ori de caracterul public al faptelor în care este implicatã.

CAP. 4

Drepturile persoanei vizate în contextul prelucrãrii datelor cu caracter personal

ART. 12

Informarea persoanei vizate

(1) În cazul în care datele cu caracter personal sunt obtinute direct de la persoana vizatã, operatorul este obligat sã furnizeze persoanei vizate cel putin urmãtoarele informatii, cu exceptia cazului în care aceastã persoanã posedã deja informatiile respective:

a) identitatea operatorului si a reprezentantului acestuia, dacã este cazul;

b) scopul în care se face prelucrarea datelor;

c) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacã furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; existenta drepturilor prevãzute de prezenta lege pentru persoana vizatã, în special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile în care pot fi exercitate;

d) orice alte informatii a cãror furnizare este impusã prin dispozitie a autoritãtii de supraveghere, tinând seama de specificul prelucrãrii.

(2) În cazul în care datele nu sunt obtinute direct de la persoana vizatã, operatorul este obligat ca, în momentul colectãrii datelor sau, dacã se intentioneazã dezvãluirea acestora cãtre terti, cel mai târziu pânã în momentul primei dezvãluiri, sã furnizeze persoanei vizate cel putin urmãtoarele informatii, cu exceptia cazului în care persoana vizatã posedã deja informatiile respective:

a) identitatea operatorului si a reprezentantului acestuia, dacã este cazul;

b) scopul în care se face prelucrarea datelor;

c) informatii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevãzute de prezenta lege pentru persoana vizatã, în special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile în care pot fi exercitate;

d) orice alte informatii a cãror furnizare este impusã prin dispozitie a autoritãtii de supraveghere, tinând seama de specificul prelucrãrii.

(3) Prevederile alin. (2) nu se aplicã atunci când prelucrarea datelor se efectueazã exclusiv în scopuri jurnalistice, literare sau artistice, dacã aplicarea acestora ar da indicii asupra surselor de informare.

(4) Prevederile alin. (2) nu se aplicã în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istoricã sau stiintificã, ori în orice alte situatii în care furnizarea unor asemenea informatii se dovedeste imposibilã sau ar implica un efort disproportionat fatã de interesul legitim care ar putea fi lezat, precum si în situatiile în care înregistrarea sau dezvãluirea datelor este expres prevãzutã de lege.

ART. 13

Dreptul de acces la date

(1) Orice persoanã vizatã are dreptul de a obtine de la operator, la cerere si în mod gratuit pentru o solicitare pe an, confirmarea faptului cã datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situatia în care prelucreazã date cu caracter personal care privesc solicitantul, sã comunice acestuia, împreunã cu confirmarea, cel putin urmãtoarele:

a) informatii referitoare la scopurile prelucrãrii, categoriile de date avute în vedere si destinatarii sau categoriile de destinatari cãrora le sunt dezvãluite datele;

b) comunicarea într-o formã inteligibilã a datelor care fac obiectul prelucrãrii, precum si a oricãrei informatii disponibile cu privire la originea datelor;

c) informatii asupra principiilor de functionare a mecanismului prin care se efectueazã orice prelucrare automatã a datelor care vizeazã persoana respectivã;

d) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de opozitie, precum si conditiile în care pot fi exercitate;

e) informatii asupra posibilitãtii de a consulta registrul de evidentã a prelucrãrilor de date cu caracter personal, prevãzut la art. 24, de a înainta plângere cãtre autoritatea de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor operatorului, în conformitate cu dispozitiile prezentei legi.

(2) Persoana vizatã poate solicita de la operator informatiile prevãzute la alin. (1), printr-o cerere întocmitã în formã scrisã, datatã si semnatã. În cerere solicitantul poate arãta dacã doreste ca informatiile sã îi fie comunicate la o anumitã adresã, care poate fi si de postã electronicã, sau printr-un serviciu de corespondentã care sã asigure cã predarea i se va face numai personal.

(3) Operatorul este obligat sã comunice informatiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).

(4) În cazul datelor cu caracter personal legate de starea de sãnãtate, cererea prevãzutã la alin. (2) poate fi introdusã de persoana vizatã fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele cãreia este introdusã. La cererea operatorului sau a persoanei vizate comunicarea prevãzutã la alin. (3) poate fi fãcutã prin intermediul unui cadru medical desemnat de persoana vizatã.

(5) În cazul în care datele cu caracter personal legate de starea de sãnãtate sunt prelucrate în scop de cercetare stiintificã, dacã nu existã, cel putin aparent, riscul de a se aduce atingere drepturilor persoanei vizate si dacã datele nu sunt utilizate pentru a lua decizii sau mãsuri fatã de o anumitã persoanã, comunicarea prevãzutã la alin. (3) se poate face si într-un termen mai mare decât cel prevãzut la acel alineat, în mãsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetãrii, si nu mai târziu de momentul în care cercetarea este încheiatã. În acest caz persoana vizatã trebuie sã îsi fi dat în mod expres si neechivoc consimtãmântul ca datele sã fie prelucrate în scop de cercetare stiintificã, precum si asupra posibilei amânãri a comunicãrii prevãzute la alin. (3) din acest motiv.

(6) Prevederile alin. (2) nu se aplicã atunci când prelucrarea datelor se efectueazã exclusiv în scopuri jurnalistice, literare sau artistice, dacã aplicarea acestora ar da indicii asupra surselor de informare.

ART. 14

Dreptul de interventie asupra datelor

(1) Orice persoanã vizatã are dreptul de a obtine de la operator, la cerere si în mod gratuit:

a) dupã caz, rectificarea, actualizarea, blocarea sau stergerea datelor a cãror prelucrare nu este conformã prezentei legi, în special a datelor incomplete sau inexacte;

b) dupã caz, transformarea în date anonime a datelor a cãror prelucrare nu este conformã prezentei legi;

c) notificarea cãtre tertii cãrora le-au fost dezvãluite datele a oricãrei operatiuni efectuate conform lit. a) sau b), dacã aceastã notificare nu se dovedeste imposibilã sau nu presupune un efort disproportionat fatã de interesul legitim care ar putea fi lezat.

(2) Pentru exercitarea dreptului prevãzut la alin. (1) persoana vizatã va înainta operatorului o cerere întocmitã în formã scrisã, datatã si semnatã. În cerere solicitantul poate arãta dacã doreste ca informatiile sã îi fie comunicate la o anumitã adresã, care poate fi si de postã electronicã, sau printr-un serviciu de corespondentã care sã asigure cã predarea i se va face numai personal.

(3) Operatorul este obligat sã comunice mãsurile luate în temeiul alin. (1), precum si, dacã este cazul, numele tertului cãruia i-au fost dezvãluite datele cu caracter personal referitoare la persoana vizatã, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).

ART. 15

Dreptul de opozitie

(1) Persoana vizatã are dreptul de a se opune în orice moment, din motive întemeiate si legitime legate de situatia sa particularã, ca date care o vizeazã sã facã obiectul unei prelucrãri, cu exceptia cazurilor în care existã dispozitii legale contrare. În caz de opozitie justificatã prelucrarea nu mai poate viza datele în cauzã.

(2) Persoana vizatã are dreptul de a se opune în orice moment, în mod gratuit si fãrã nici o justificare, ca datele care o vizeazã sã fie prelucrate în scop de marketing direct, în numele operatorului sau al unui tert, sau sã fie dezvãluite unor terti într-un asemenea scop.

(3) În vederea exercitãrii drepturilor prevãzute la alin. (1) si (2) persoana vizatã va înainta operatorului o cerere întocmitã în formã scrisã, datatã si semnatã. În cerere solicitantul poate arãta dacã doreste ca informatiile sã îi fie comunicate la o anumitã adresã, care poate fi si de postã electronicã, sau printr-un serviciu de corespondentã care sã asigure cã predarea i se va face numai personal.

(4) Operatorul este obligat sã comunice persoanei vizate mãsurile luate în temeiul alin. (1) sau (2), precum si, dacã este cazul, numele tertului cãruia i-au fost dezvãluite datele cu caracter personal referitoare la persoana vizatã, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).

ART. 16

Exceptii

(1) Prevederile art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplicã în cazul activitãtilor prevãzute la art. 2 alin. (5), dacã prin aplicarea acestora este prejudiciatã eficienta actiunii sau obiectivul urmãrit în îndeplinirea atributiilor legale ale autoritãtii publice.

(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesarã atingerii obiectivului urmãrit prin desfãsurarea activitãtilor mentionate la art. 2 alin. (5).

(3) Dupã încetarea situatiei care justificã aplicarea alin. (1) si (2) operatorii care desfãsoarã activitãtile prevãzute la art. 2 alin. (5) vor lua mãsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.

(4) Autoritãtile publice tin evidenta unor astfel de cazuri si informeazã periodic autoritatea de supraveghere despre modul de solutionare a lor.

ART. 17

Dreptul de a nu fi supus unei decizii individuale

(1) Orice persoanã are dreptul de a cere si de a obtine:

a) retragerea sau anularea oricãrei decizii care produce efecte juridice în privinta sa, adoptatã exclusiv pe baza unei prelucrãri de date cu caracter personal, efectuatã prin mijloace automate, destinatã sã evalueze unele aspecte ale personalitãtii sale, precum competenta profesionalã, credibilitatea, comportamentul sãu ori alte asemenea aspecte;

b) reevaluarea oricãrei alte decizii luate în privinta sa, care o afecteazã în mod semnificativ, dacã decizia a fost adoptatã exclusiv pe baza unei prelucrãri de date care întruneste conditiile prevãzute la lit. a).

(2) Respectându-se celelalte garantii prevãzute de prezenta lege, o persoanã poate fi supusã unei decizii de natura celei vizate la alin. (1), numai în urmãtoarele situatii:

a) decizia este luatã în cadrul încheierii sau executãrii unui contract, cu conditia ca cererea de încheiere sau de executare a contractului, introdusã de persoana vizatã, sã fi fost satisfãcutã sau ca unele mãsuri adecvate, precum posibilitatea de a-si sustine punctul de vedere, sã garanteze apãrarea propriului interes legitim;

b) decizia este autorizatã de o lege care precizeazã mãsurile ce garanteazã apãrarea interesului legitim al persoanei vizate.

ART. 18

Dreptul de a se adresa justitiei

(1) Fãrã a se aduce atingere posibilitãtii de a se adresa cu plângere autoritãtii de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru apãrarea oricãror drepturi garantate de prezenta lege, care le-au fost încãlcate.

(2) Orice persoanã care a suferit un prejudiciu în urma unei prelucrãri de date cu caracter personal, efectuatã ilegal, se poate adresa instantei competente pentru repararea acestuia.

(3) Instanta competentã este cea în a cãrei razã teritorialã domiciliazã reclamantul. Cererea de chemare în judecatã este scutitã de taxã de timbru.

CAP. 5

Confidentialitatea si securitatea prelucrãrilor

ART. 19

Confidentialitatea prelucrãrilor

Orice persoanã care actioneazã sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicitã, care are acces la date cu caracter personal, nu poate sã le prelucreze decât pe baza instructiunilor operatorului, cu exceptia cazului în care actioneazã în temeiul unei obligatii legale.

ART. 20

Securitatea prelucrãrilor

(1) Operatorul este obligat sã aplice mãsurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificãrii, dezvãluirii sau accesului neautorizat, în special dacã prelucrarea respectivã comportã transmisii de date în cadrul unei retele, precum si împotriva oricãrei alte forme de prelucrare ilegalã.

(2) Aceste mãsuri trebuie sã asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare si de costuri, un nivel de securitate adecvat în ceea ce priveste riscurile pe care le reprezintã prelucrarea, precum si în ceea ce priveste natura datelor care trebuie protejate. Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic, corespunzãtor progresului tehnic si experientei acumulate.

(3) Operatorul, atunci când desemneazã o persoanã împuternicitã, este obligat sã aleagã o persoanã care prezintã suficiente garantii în ceea ce priveste mãsurile de securitate tehnicã si organizatorice cu privire la prelucrãrile ce vor fi efectuate, precum si sã vegheze la respectarea acestor mãsuri de cãtre persoana desemnatã.

(4) Autoritatea de supraveghere poate decide, în cazuri individuale, asupra obligãrii operatorului la adoptarea unor mãsuri suplimentare de securitate, cu exceptia celor care privesc garantarea securitãtii serviciilor de telecomunicatii.

(5) Efectuarea prelucrãrilor prin persoane împuternicite trebuie sã se desfãsoare în baza unui contract încheiat în formã scrisã, care va cuprinde în mod obligatoriu:

a) obligatia persoanei împuternicite de a actiona doar în baza instructiunilor primite de la operator;

b) faptul cã îndeplinirea obligatiilor prevãzute la alin. (1) revine si persoanei împuternicite.

CAP. 6

Supravegherea si controlul prelucrãrilor de date cu caracter personal

ART. 21

Autoritatea de supraveghere

(1) Autoritatea de supraveghere, în sensul prezentei legi, este Avocatul Poporului.

(2) Autoritatea de supraveghere îsi desfãsoarã activitatea în conditii de completã independentã si impartialitate.

(3) Autoritatea de supraveghere monitorizeazã si controleazã sub aspectul legalitãtii prelucrãrile de date cu caracter personal care cad sub incidenta prezentei legi.

În acest scop autoritatea de supraveghere exercitã urmãtoarele atributii:

a) elaboreazã formularele tipizate ale notificãrilor si ale registrelor proprii;

b) primeste si analizeazã notificãrile privind prelucrarea datelor cu caracter personal, anuntând operatorului rezultatele controlului prealabil;

c) autorizeazã prelucrãrile de date în situatiile prevãzute de lege;

d) poate dispune, în cazul în care constatã încãlcarea dispozitiilor prezentei legi, suspendarea provizorie sau încetarea prelucrãrii datelor, stergerea partialã ori integralã a datelor prelucrate si poate sã sesizeze organele de urmãrire penalã sau sã intenteze actiuni în justitie;

e) pãstreazã si pune la dispozitie publicului registrul de evidentã a prelucrãrilor de date cu caracter personal;

f) primeste si solutioneazã plângeri, sesizãri sau cereri de la persoanele fizice si comunicã solutia datã ori, dupã caz, diligentele depuse;

g) efectueazã investigatii din oficiu sau la primirea unor plângeri ori sesizãri;

h) este consultatã atunci când se elaboreazã proiecte de acte normative referitoare la protectia drepturilor si libertãtilor persoanelor, în privinta prelucrãrii datelor cu caracter personal;

i) poate face propuneri privind initierea unor proiecte de acte normative sau modificarea actelor normative în vigoare în domenii legate de prelucrarea datelor cu caracter personal;

j) coopereazã cu autoritãtile publice si cu organele administratiei publice, centralizeazã si analizeazã rapoartele anuale de activitate ale acestora privind protectia persoanelor în privinta prelucrãrii datelor cu caracter personal, formuleazã recomandãri si avize asupra oricãrei chestiuni legate de protectia drepturilor si libertãtilor fundamentale în privinta prelucrãrii datelor cu caracter personal, la cererea oricãrei persoane, inclusiv a autoritãtilor publice si a organelor administratiei publice; aceste recomandãri si avize trebuie sã facã mentiune despre temeiurile pe care se sprijinã si se comunicã în copie si Ministerului Justitiei; atunci când recomandarea sau avizul este cerut de lege, se publicã în Monitorul Oficial al României, Partea I;

k) coopereazã cu autoritãtile similare de peste hotare în vederea asistentei mutuale, precum si cu persoanele cu domiciliul sau cu sediul în strãinãtate, în scopul apãrãrii drepturilor si libertãtilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;

l) îndeplineste alte atributii prevãzute de lege.

(4) Întregul personal al autoritãtii de supraveghere are obligatia de a pãstra secretul profesional, cu exceptiile prevãzute de lege, pe termen nelimitat, asupra informatiilor confidentiale sau clasificate la care are sau a avut acces în exercitarea atributiilor de serviciu, inclusiv dupã încetarea raporturilor juridice cu autoritatea de supraveghere.

ART. 22

Notificarea cãtre autoritatea de supraveghere

(1) Operatorul este obligat sã notifice autoritãtii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricãrei prelucrãri ori a oricãrui ansamblu de prelucrãri având acelasi scop sau scopuri corelate.

(2) Notificarea nu este necesarã în cazul în care prelucrarea are ca unic scop tinerea unui registru destinat prin lege informãrii publicului si deschis spre consultare publicului în general sau oricãrei persoane care probeazã un interes legitim, cu conditia ca prelucrarea sã se limiteze la datele strict necesare tinerii registrului mentionat.

(3) Notificarea va cuprinde cel putin urmãtoarele informatii:

a) numele sau denumirea si domiciliul ori sediul operatorului si ale reprezentantului desemnat al acestuia, dacã este cazul;

b) scopul sau scopurile prelucrãrii;

c) o descriere a categoriei sau a categoriilor de persoane vizate si a datelor ori a categoriilor de date ce vor fi prelucrate;

d) destinatarii sau categoriile de destinatari cãrora se intentioneazã sã li se dezvãluie datele;

e) garantiile care însotesc dezvãluirea datelor cãtre terti;

f) modul în care persoanele vizate sunt informate asupra drepturilor lor; data estimatã pentru încheierea operatiunilor de prelucrare, precum si destinatia ulterioarã a datelor;

g) transferuri de date care se intentioneazã sã fie fãcute cãtre alte state;

h) o descriere generalã care sã permitã aprecierea preliminarã a mãsurilor luate pentru asigurarea securitãtii prelucrãrii;

i) specificarea oricãrui sistem de evidentã a datelor cu caracter personal, care are legãturã cu prelucrarea, precum si a eventualelor legãturi cu alte prelucrãri de date sau cu alte sisteme de evidentã a datelor cu caracter personal, indiferent dacã se efectueazã, respectiv dacã sunt sau nu sunt situate pe teritoriul României;

j) motivele care justificã aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), în situatia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice ori în scopuri statistice, de cercetare istoricã sau stiintificã.

(4) Dacã notificarea este incompletã, autoritatea de supraveghere va solicita completarea acesteia.

(5) În limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita si alte informatii, în special privind originea datelor, tehnologia de prelucrare automatã utilizatã si detalii referitoare la mãsurile de securitate. Dispozitiile prezentului alineat nu se aplicã în situatia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice.

(6) Dacã se intentioneazã ca datele care sunt prelucrate sã fie transferate în strãinãtate, notificarea va cuprinde si urmãtoarele elemente:

a) categoriile de date care vor face obiectul transferului;

b) tara de destinatie pentru fiecare categorie de date.

(7) Notificarea este supusã unei taxe care trebuie plãtitã de operator autoritãtii de supraveghere.

(8) Autoritãtile publice care efectueazã prelucrãri de date cu caracter personal în legãturã cu activitãtile descrise la art. 2 alin. (5), în temeiul legii sau în îndeplinirea obligatiilor asumate prin acorduri internationale ratificate, sunt scutite de taxa prevãzutã la alin. (7). Notificarea se va transmite în termen de 15 zile de la intrarea în vigoare a actului normativ care instituie obligatia respectivã si va cuprinde numai urmãtoarele elemente:

a) denumirea si sediul operatorului;

b) scopul si temeiul legal al prelucrãrii;

c) categoriile de date cu caracter personal supuse prelucrãrii.

(9) Autoritatea de supraveghere poate stabili si alte situatii în care notificarea nu este necesarã, în afara celei prevãzute la alin. (2), sau situatii în care notificarea se poate efectua într-o formã simplificatã, precum si continutul acesteia, numai în unul dintre urmãtoarele cazuri:

a) atunci când, luând în considerare natura datelor destinate sã fie prelucrate, prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor vizate, cu conditia sã precizeze expres scopurile în care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cãrora datele le pot fi dezvãluite si perioada pentru care datele pot fi stocate;

b) atunci când prelucrarea se efectueazã în conditiile art. 7 alin. (2) lit. d).

ART. 23

Controlul prealabil

(1) Autoritatea de supraveghere va stabili categoriile de operatiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile si libertãtile persoanelor.

(2) Dacã pe baza notificãrii autoritatea de supraveghere constatã cã prelucrarea se încadreazã în una dintre categoriile mentionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil începerii prelucrãrii respective, cu anuntarea operatorului.

(3) Operatorii care nu au fost anuntati în termen de 5 zile de la data notificãrii despre efectuarea unui control prealabil pot începe prelucrarea.

(4) În situatia prevãzutã la alin. (2) autoritatea de supraveghere este obligatã ca, în termen de cel mult 30 de zile de la data notificãrii, sã aducã la cunostintã operatorului rezultatul controlului efectuat, precum si decizia emisã în urma acestuia.

ART. 24

Registrul de evidentã a prelucrãrilor de date cu caracter personal

(1) Autoritatea de supraveghere pãstreazã un registru de evidentã a prelucrãrilor de date cu caracter personal, notificate în conformitate cu prevederile art. 22. Registrul va cuprinde toate informatiile prevãzute la art. 22 alin. (3).

(2) Fiecare operator primeste un numãr de înregistrare. Numãrul de înregistrare trebuie mentionat pe orice act prin care datele sunt colectate, stocate sau dezvãluite.

(3) Orice schimbare de naturã sã afecteze exactitatea informatiilor înregistrate va fi comunicatã autoritãtii de supraveghere în termen de 5 zile. Autoritatea de supraveghere va dispune de îndatã efectuarea mentiunilor corespunzãtoare în registru.

(4) Activitãtile de prelucrare a datelor cu caracter personal, începute anterior intrãrii în vigoare a prezentei legi, vor fi notificate în vederea înregistrãrii în termen de 15 zile de la data intrãrii în vigoare a prezentei legi.

(5) Registrul de evidentã a prelucrãrilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileste de autoritatea de supraveghere.

ART. 25

Plângeri adresate autoritãtii de supraveghere

(1) În vederea apãrãrii drepturilor prevãzute de prezenta lege persoanele ale cãror date cu caracter personal fac obiectul unei prelucrãri care cade sub incidenta prezentei legi pot înainta plângere cãtre autoritatea de supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana lezatã poate împuternici o asociatie sau o fundatie sã îi reprezinte interesele.

(2) Plângerea cãtre autoritatea de supraveghere nu poate fi înaintatã dacã o cerere în justitie, având acelasi obiect si aceleasi pãrti, a fost introdusã anterior.

(3) În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent si ireparabil, plângerea cãtre autoritatea de supraveghere nu poate fi înaintatã mai devreme de 15 zile de la înaintarea unei plângeri cu acelasi continut cãtre operator.

(4) În vederea solutionãrii plângerii, dacã apreciazã cã este necesar, autoritatea de supraveghere poate audia persoana vizatã, operatorul si, dacã este cazul, persoana împuternicitã sau asociatia ori fundatia care reprezintã interesele persoanei vizate. Aceste persoane au dreptul de a înainta cereri, documente si memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.

(5) Dacã plângerea este gãsitã întemeiatã, autoritatea de supraveghere poate decide oricare dintre mãsurile prevãzute la art. 21 alin. (3) lit. d). Interdictia temporarã a prelucrãrii poate fi instituitã numai pânã la încetarea motivelor care au determinat luarea acestei mãsuri.

(6) Decizia trebuie motivatã si se comunicã pãrtilor interesate în termen de 30 de zile de la data primirii plângerii.

(7) Autoritatea de supraveghere poate ordona, dacã apreciazã necesar, suspendarea unora sau tuturor operatiunilor de prelucrare pânã la solutionarea plângerii în conditiile alin. (5).

(8) Autoritatea de supraveghere se poate adresa justitiei pentru apãrarea oricãror drepturi garantate de prezenta lege persoanelor vizate. Instanta competentã este Tribunalul Municipiului Bucuresti. Cererea de chemare în judecatã este scutitã de taxa de timbru.

(9) La cererea persoanelor vizate, pentru motive întemeiate, instanta poate dispune suspendarea prelucrãrii pânã la solutionarea plângerii de cãtre autoritatea de supraveghere.

(10) Prevederile alin. (4) - (9) se aplicã în mod corespunzãtor si în situatia în care autoritatea de supraveghere aflã pe orice altã cale despre sãvârsirea unei încãlcãri a drepturilor recunoscute de prezenta lege persoanelor vizate.

ART. 26

Contestarea deciziilor autoritãtii de supraveghere

(1) Împotriva oricãrei decizii emise de autoritatea de supraveghere în temeiul dispozitiilor prezentei legi operatorul sau persoana vizatã poate formula contestatie în termen de 15 zile de la comunicare, sub sanctiunea decãderii, la instanta de contencios administrativ competentã. Cererea se judecã de urgentã, cu citarea pãrtilor. Solutia este definitivã si irevocabilã.

(2) Fac exceptie de la prevederile alin. (1), precum si de la cele ale art. 23 si 25 prelucrãrile de date cu caracter personal, efectuate în cadrul activitãtilor prevãzute la art. 2 alin. (5).

ART. 27

Exercitarea atributiilor de investigare

(1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plângeri, orice încãlcare a drepturilor persoanelor vizate, respectiv a obligatiilor care revin operatorilor si, dupã caz, persoanelor împuternicite, în cadrul efectuãrii prelucrãrilor de date cu caracter personal, în scopul apãrãrii drepturilor si libertãtilor fundamentale ale persoanelor vizate.

(2) Atributiile de investigare nu pot fi exercitate de cãtre autoritatea de supraveghere în cazul în care o cerere în justitie introdusã anterior are ca obiect sãvârsirea aceleiasi încãlcãri a drepturilor si opune aceleasi pãrti.

(3) În exercitarea atributiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informatii legate de prelucrarea datelor cu caracter personal si poate verifica orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal.

(4) Secretul de stat si secretul profesional nu pot fi invocate pentru a împiedica exercitarea atributiilor acordate prin prezenta lege autoritãtii de supraveghere. Atunci când este invocatã protectia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligatia de a pãstra secretul.

(5) Dacã exercitarea atributiei de investigare a autoritãtii de supraveghere are ca obiect o prelucrare de date cu caracter personal, efectuatã de autoritãtile publice în legãturã cu activitãtile descrise la art. 2 alin. (5) pentru un caz concret, este necesarã obtinerea acordului prealabil al procurorului sau al instantei competente.

ART. 28

Norme de conduitã

(1) Asociatiile profesionale au obligatia de a elabora si de a supune spre avizare autoritãtii de supraveghere coduri de conduitã care sã continã norme adecvate pentru protectia drepturilor persoanelor ale cãror date cu caracter personal pot fi prelucrate de cãtre membrii acestora.

(2) Normele de conduitã trebuie sã prevadã mãsuri si proceduri care sã asigure un nivel satisfãcãtor de protectie, tinând seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune mãsuri si proceduri specifice pentru perioada în care normele de conduitã la care s-a fãcut referire anterior nu sunt adoptate.

CAP. 7

Transferul în strãinãtate al datelor cu caracter personal

ART. 29

Conditiile transferului în strãinãtate al datelor cu caracter personal

(1) Transferul cãtre un alt stat de date cu caracter personal care fac obiectul unei prelucrãri sau sunt destinate sã fie prelucrate dupã transfer poate avea loc numai în conditiile în care nu se încalcã legea românã, iar statul cãtre care se intentioneazã transferul asigurã un nivel de protectie adecvat.

(2) Nivelul de protectie va fi apreciat de cãtre autoritatea de supraveghere, tinând seama de totalitatea împrejurãrilor în care se realizeazã transferul de date, în special având în vedere natura datelor transmise, scopul prelucrãrii si durata propusã pentru prelucrare, statul de origine si statul de destinatie finalã, precum si legislatia statului solicitant. În cazul în care autoritatea de supraveghere constatã cã nivelul de protectie oferit de statul de destinatie este nesatisfãcãtor, poate dispune interzicerea transferului de date.

(3) În toate situatiile transferul de date cu caracter personal cãtre un alt stat va face obiectul unei notificãri prealabile a autoritãtii de supraveghere.

(4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal cãtre un stat a cãrui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de legea românã atunci când operatorul oferã garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sã fie stabilite prin contracte încheiate între operatori si persoanele fizice sau juridice din dispozitia cãrora se efectueazã transferul.

(5) Prevederile alin. (2), (3) si (4) nu se aplicã dacã transferul datelor se face în baza prevederilor unei legi speciale sau ale unui acord international ratificat de România, în special dacã transferul se face în scopul prevenirii, cercetãrii sau reprimãrii unei infractiuni.

(6) Prevederile prezentului articol nu se aplicã atunci când prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacã datele au fost fãcute publice în mod manifest de cãtre persoana vizatã sau sunt strâns legate de calitatea de persoanã publicã a persoanei vizate ori de caracterul public al faptelor în care este implicatã.

ART. 30

Situatii în care transferul este întotdeauna permis

Transferul de date este întotdeauna permis în urmãtoarele situatii:

a) când persoana vizatã si-a dat în mod explicit consimtãmântul pentru efectuarea transferului; în cazul în care transferul de date se face în legãturã cu oricare dintre datele prevãzute la art. 7, 8 si 10, consimtãmântul trebuie dat în scris;

b) când este necesar pentru executarea unui contract încheiat între persoana vizatã si operator sau pentru executarea unor mãsuri precontractuale dispuse la cererea persoanei vizate;

c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator si un tert;

d) când este necesar pentru satisfacerea unui interes public major, precum apãrarea nationalã, ordinea publicã sau siguranta nationalã, pentru buna desfãsurare a procesului penal ori pentru constatarea, exercitarea sau apãrarea unui drept în justitie, cu conditia ca datele sã fie prelucrate în legãturã cu acest scop si nu mai mult timp decât este necesar;

e) când este necesar pentru a proteja viata, integritatea fizicã sau sãnãtatea persoanei vizate;

f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informatii care pot fi obtinute din registre sau prin orice alte documente accesibile publicului.

CAP. 8

Contraventii si sanctiuni

ART. 31

Omisiunea de a notifica si notificarea cu rea-credintã

Omisiunea de a efectua notificarea în conditiile art. 22 sau ale art. 29 alin. (3) în situatiile în care aceastã notificare este obligatorie, precum si notificarea incompletã sau care contine informatii false constituie contraventii, dacã nu sunt sãvârsite în astfel de conditii încât sã constituie infractiuni, si se sanctioneazã cu amendã de la 5.000.000 lei la 100.000.000 lei.

ART. 32

Prelucrarea nelegalã a datelor cu caracter personal

Prelucrarea datelor cu caracter personal de cãtre un operator sau de o persoanã împuternicitã de acesta, cu încãlcarea prevederilor art. 4 - 10 sau cu nesocotirea drepturilor prevãzute la art. 12 - 15 sau la art. 17, constituie contraventie, dacã nu este sãvârsitã în astfel de conditii încât sã constituie infractiune, si se sanctioneazã cu amendã de la 10.000.000 lei la 250.000.000 lei.

ART. 33

Neîndeplinirea obligatiilor privind confidentialitatea si aplicarea mãsurilor de securitate

Neîndeplinirea obligatiilor privind aplicarea mãsurilor de securitate si de pãstrare a confidentialitãtii prelucrãrilor, prevãzute la art. 19 si 20, constituie contraventie, dacã nu este sãvârsitã în astfel de conditii încât sã constituie infractiune, si se sanctioneazã cu amendã de la 15.000.000 lei la 500.000.000 lei.

ART. 34

Refuzul de a furniza informatii

Refuzul de a furniza autoritãtii de supraveghere informatiile sau documentele cerute de aceasta în exercitarea atributiilor de investigare prevãzute la art. 27 constituie contraventie, dacã nu este sãvârsitã în astfel de conditii încât sã constituie infractiune, si se sanctioneazã cu amendã de la 10.000.000 lei la 150.000.000 lei.

ART. 35

Constatarea contraventiilor si aplicarea sanctiunilor

(1) Constatarea contraventiilor si aplicarea sanctiunilor se efectueazã de cãtre autoritatea de supraveghere, care poate delega aceste atributii unor persoane recrutate din rândul personalului sãu, precum si de reprezentanti împuterniciti ai organelor cu atributii de supraveghere si control, abilitate potrivit legii.

(2) Dispozitiile prezentei legi referitoare la contraventii se completeazã cu prevederile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, în mãsura în care prezenta lege nu dispune altfel.

(3) Împotriva proceselor-verbale de constatare si sanctionare se poate face plângere la sectiile de contencios administrativ ale tribunalelor.

CAP. 9

Dispozitii finale

ART. 36

Intrarea în vigoare

Prezenta lege intrã în vigoare la data publicãrii ei în Monitorul Oficial al României, Partea I, si se pune în aplicare în termen de 3 luni de la intrarea sa în vigoare.

Aceastã lege a fost adoptatã de Senat în sedinta din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia României.

PREªEDINTELE SENATULUI

NICOLAE VÃCÃROIU

Aceastã lege a fost adoptatã de Camera Deputatilor în sedinta din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia României.

PREªEDINTELE CAMEREI DEPUTATILOR

VALER DORNEANU

---------------