Mihai Mereuță: Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date-actualizat la data de 02.04.2012

Lege nr. 677 din 21/11/2001

Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date

___________
Text actualizat la data de 02.04.2012. Actul include modificările din următoarele acte:
- Legea nr. 102/2005 publicată în Monitorul Oficial, Partea I nr. 391 din 09/05/2005.
- O.U.G. nr. 36/2007 publicată în Monitorul Oficial, Partea I nr. 335 din 17/05/2007.

___________
Pus în aplicare prin:
- Ordinul nr. 52/2002 publicat în Monitorul Oficial, Partea I nr. 383 din 05/06/2002.
- Ordinul nr. 75/2002 publicat în Monitorul Oficial, Partea I nr. 449 din 26/06/2002.
- Ordinul nr. 6/2003 publicat în Monitorul Oficial, Partea I nr. 151 din 10/03/2003.
- Decizia nr. 167/2006 publicată în Monitorul Oficial, Partea I nr. 6 din 04/01/2007.
- Decizia nr. 90/2006 publicată în Monitorul Oficial, Partea I nr. 654 din 28/07/2006.
- Decizia nr. 91/2006 publicată în Monitorul Oficial, Partea I nr. 654 din 28/07/2006.
- Decizia nr. 28/2007 publicată în Monitorul Oficial, Partea I nr. 182 din 16/03/2007.
- Decizia nr. 105/2007 publicată în Monitorul Oficial, Partea I nr. 891 din 27/12/2007.
- Decizia nr. 95/2008 publicată în Monitorul Oficial, Partea I nr. 876 din 24/12/2008.
- Decizia nr. 10/2009 publicată în Monitorul Oficial, Partea I nr. 149 din 10/03/2009.
- Decizia nr. 11/2009 publicată în Monitorul Oficial, Partea I nr. 155 din 12/03/2009.
- Ordinul nr. 2151/2011 publicat în Monitorul Oficial, Partea I nr. 390 din 03/06/2011.

Parlamentul României adoptă prezenta lege.

CAPITOLUL I
Dispoziţii generale

Scop

Art. 1. - (1) Prezenta lege are ca scop garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal.

(2) Exercitarea drepturilor prevăzute în prezenta lege nu poate fi restrânsă decât în cazuri expres şi limitativ prevăzute de lege.

Domeniu de aplicare

Art. 2. - (1) Prezenta lege se aplică prelucrărilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrării prin alte mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă sau care sunt destinate să fie incluse într-un asemenea sistem.

(2) Prezenta lege se aplică:

a) prelucrărilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori stabiliţi în România;

b) prelucrărilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de misiunile diplomatice sau de oficiile consulare ale României;

c) prelucrărilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori care nu sunt stabiliţi în România, prin utilizarea de mijloace de orice natură situate pe teritoriul României, cu excepţia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitării pe teritoriul României a datelor cu caracter personal care fac obiectul prelucrărilor respective.

(3) În cazul prevăzut la alin. (2) lit. c) operatorul îşi va desemna un reprezentant care trebuie să fie o persoană stabilită în România. Prevederile prezentei legi aplicabile operatorului sunt aplicabile şi reprezentantului acestuia, fără a aduce atingere posibilităţii de a introduce acţiune în justiţie direct împotriva operatorului.

(4) Prezenta lege se aplică prelucrărilor de date cu caracter personal efectuate de persoane fizice sau juridice, române ori străine, de drept public sau de drept privat, indiferent dacă au loc în sectorul public sau în sectorul privat.

(5) În limitele prevăzute de prezenta lege, aceasta se aplică şi prelucrărilor şi transferului de date cu caracter personal, efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege.

(6) Prezenta lege nu se aplică prelucrărilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, dacă datele în cauză nu sunt destinate a fi dezvăluite.

(7) Prezenta lege nu se aplică prelucrărilor şi transferului de date cu caracter personal, efectuate în cadrul activităţilor în domeniul apărării naţionale şi siguranţei naţionale, desfăşurate în limitele şi cu restricţiile stabilite de lege.

(8) Prevederile prezentei legi nu aduc atingere obligaţiilor asumate de România prin instrumente juridice ratificate.

Definiţii

Art. 3. - În înţelesul prezentei legi, următorii termeni se definesc după cum urmează:

a) date cu caracter personal - orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;

b) prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;

c) stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;

d) sistem de evidenţă a datelor cu caracter personal - orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice;

e) operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ;

f) persoană împuternicită de către operator - o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;

g) terţ - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, alta decât persoana vizată, operatorul ori persoana împuternicită sau persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;

h) destinatar - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terţ; autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari;

i) date anonime - date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă.

CAPITOLUL II
Reguli generale privind prelucrarea datelor cu caracter personal

Caracteristicile datelor cu caracter personal în cadrul prelucrării

Art. 4. - (1) Datele cu caracter personal destinate a face obiectul prelucrării trebuie să fie:

a) prelucrate cu bună-credinţă şi în conformitate cu dispoziţiile legale în vigoare;

b) colectate în scopuri determinate, explicite şi legitime; prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice, de cercetare istorică sau ştiinţifică nu va fi considerată incompatibilă cu scopul colectării dacă se efectuează cu respectarea dispoziţiilor prezentei legi, inclusiv a celor care privesc efectuarea notificării către autoritatea de supraveghere, precum şi cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute de normele care reglementează activitatea statistică ori cercetarea istorică sau ştiinţifică;

c) adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate;

d) exacte şi, dacă este cazul, actualizate; în acest scop se vor lua măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate şi pentru care vor fi ulterior prelucrate, să fie şterse sau rectificate;

e) stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate; stocarea datelor pe o durată mai mare decât cea menţionată, în scopuri statistice, de cercetare istorică sau ştiinţifică, se va face cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute în normele care reglementează aceste domenii, şi numai pentru perioada necesară realizării acestor scopuri.

(2) Operatorii au obligaţia să respecte prevederile alin. (1) şi să asigure îndeplinirea acestor prevederi de către persoanele împuternicite.

Condiţii de legitimitate privind prelucrarea datelor

Art. 5. - (1) Orice prelucrare de date cu caracter personal, cu excepţia prelucrărilor care vizează date din categoriile menţionate la art. 7 alin. (1), art. 8 şi 10, poate fi efectuată numai dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare.

(2) Consimţământul persoanei vizate nu este cerut în următoarele cazuri:

a) când prelucrarea este necesară în vederea executării unui contract sau antecontract la care persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;

b) când prelucrarea este necesară în vederea protejării vieţii, integrităţii fizice sau sănătăţii persoanei vizate ori a unei alte persoane ameninţate;

c) când prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale a operatorului;

d) când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terţul căruia îi sunt dezvăluite datele;

e) când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terţului căruia îi sunt dezvăluite datele, cu condiţia ca acest interes să nu prejudicieze interesul sau drepturile şi libertăţile fundamentale ale persoanei vizate;

f) când prelucrarea priveşte date obţinute din documente accesibile publicului, conform legii;

g) când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică, iar datele rămân anonime pe toată durata prelucrării.

(3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi privată.

Încheierea operaţiunilor de prelucrare

Art. 6. - (1) La încheierea operaţiunilor de prelucrare, dacă persoana vizată nu şi-a dat în mod expres şi neechivoc consimţământul pentru o altă destinaţie sau pentru o prelucrare ulterioară, datele cu caracter personal vor fi:

a) distruse;

b) transferate unui alt operator, cu condiţia ca operatorul iniţial să garanteze faptul că prelucrările ulterioare au scopuri similare celor în care s-a făcut prelucrarea iniţială;

c) transformate în date anonime şi stocate exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică.

(2) În cazul operaţiunilor de prelucrare efectuate în condiţiile prevăzute la art. 5 alin. (2) lit. c) sau d), în cadrul activităţilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesară realizării scopurilor concrete urmărite, cu condiţia asigurării unor măsuri corespunzătoare de protejare a acestora, după care va proceda la distrugerea lor dacă nu sunt aplicabile prevederile legale privind păstrarea arhivelor.

CAPITOLUL III
Reguli speciale privind prelucrarea datelor cu caracter personal

Prelucrarea unor categorii speciale de date

Art. 7. - (1) Prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, precum şi a datelor cu caracter personal privind starea de sănătate sau viaţa sexuală este interzisă.

(2) Prevederile alin. (1) nu se aplică în următoarele cazuri:

a) când persoana vizată şi-a dat în mod expres consimţământul pentru o astfel de prelucrare;

b) când prelucrarea este necesară în scopul respectării obligaţiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garanţiilor prevăzute de lege; o eventuală dezvăluire către un terţ a datelor prelucrate poate fi efectuată numai dacă există o obligaţie legală a operatorului în acest sens sau dacă persoana vizată a consimţit expres la această dezvăluire;

c) când prelucrarea este necesară pentru protecţia vieţii, integrităţii fizice sau a sănătăţii persoanei vizate ori a altei persoane, în cazul în care persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;

d) când prelucrarea este efectuată în cadrul activităţilor sale legitime de către o fundaţie, asociaţie sau de către orice altă organizaţie cu scop nelucrativ şi cu specific politic, filozofic, religios ori sindical, cu condiţia ca persoana vizată să fie membră a acestei organizaţii sau să întreţină cu aceasta, în mod regulat, relaţii care privesc specificul activităţii organizaţiei şi ca datele să nu fie dezvăluite unor terţi fără consimţământul persoanei vizate;

e) când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată;

f) când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiţie;

g) când prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată ori de gestionare a serviciilor de sănătate care acţionează în interesul persoanei vizate, cu condiţia ca prelucrarea datelor respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional sau de către ori sub supravegherea unei alte persoane supuse unei obligaţii echivalente în ceea ce priveşte secretul;

h) când legea prevede în mod expres aceasta în scopul protejării unui interes public important, cu condiţia ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate şi a celorlalte garanţii prevăzute de prezenta lege.

(3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi privată.

(4) Autoritatea de supraveghere poate dispune, din motive întemeiate, interzicerea efectuării unei prelucrări de date din categoriile prevăzute la alin. (1), chiar dacă persoana vizată şi-a dat în scris şi în mod neechivoc consimţământul, iar acest consimţământ nu a fost retras, cu condiţia ca interdicţia prevăzută la alin. (1) să nu fie înlăturată prin unul dintre cazurile la care se referă alin. (2) lit. b)-g).

Prelucrarea datelor cu caracter personal având funcţie de identificare

Art. 8. - (1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă:

a) persoana vizată şi-a dat în mod expres consimţământul; sau

b) prelucrarea este prevăzută în mod expres de o dispoziţie legală.

(2) Autoritatea de supraveghere poate stabili şi alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.

___________

Pus în aplicare prin Decizie nr. 105/2007 începând cu 25.02.2008.

Prelucrarea datelor cu caracter personal privind starea de sănătate

Art. 9. - (1) În afara cazurilor prevăzute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplică în privinţa prelucrării datelor privind starea de sănătate în următoarele cazuri:

a) dacă prelucrarea este necesară pentru protecţia sănătăţii publice;

b) dacă prelucrarea este necesară pentru prevenirea unui pericol iminent, pentru prevenirea săvârşirii unei fapte penale sau pentru împiedicarea producerii rezultatului unei asemenea fapte ori pentru înlăturarea urmărilor prejudiciabile ale unei asemenea fapte.

(2) Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical, cu condiţia respectării secretului profesional, cu excepţia situaţiei în care persoana vizată şi-a dat în scris şi în mod neechivoc consimţământul atâta timp cât acest consimţământ nu a fost retras, precum şi cu excepţia situaţiei în care prelucrarea este necesară pentru prevenirea unui pericol iminent, pentru prevenirea săvârşirii unei fapte penale, pentru împiedicarea producerii rezultatului unei asemenea fapte sau pentru înlăturarea urmărilor sale prejudiciabile.

(3) Cadrele medicale, instituţiile de sănătate şi personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sănătate, fără autorizaţia autorităţii de supraveghere, numai dacă prelucrarea este necesară pentru protejarea vieţii, integrităţii fizice sau sănătăţii persoanei vizate. Când scopurile menţionate se referă la alte persoane sau la public în general şi persoana vizată nu şi-a dat consimţământul în scris şi în mod neechivoc, trebuie cerută şi obţinută în prealabil autorizaţia autorităţii de supraveghere. Prelucrarea datelor cu caracter personal în afara limitelor prevăzute în autorizaţie este interzisă.

(4) Cu excepţia motivelor de urgenţă, autorizaţia prevăzută la alin. (3) poate fi acordată numai după ce a fost consultat Colegiul Medicilor din România.

(5) Datele cu caracter personal privind starea de sănătate pot fi colectate numai de la persoana vizată. Prin excepţie, aceste date pot fi colectate din alte surse numai în măsura în care este necesar pentru a nu compromite scopurile prelucrării, iar persoana vizată nu vrea ori nu le poate furniza.

Prelucrarea datelor cu caracter personal referitoare la fapte
penale sau contravenţii

Art. 10. - (1) Prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale, aplicate persoanei vizate, poate fi efectuată numai de către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege şi în condiţiile stabilite de legile speciale care reglementează aceste materii.

(3) Un registru complet al condamnărilor penale poate fi ţinut numai sub controlul unei autorităţi publice, în limitele puterilor ce îi sunt conferite prin lege.

___________

Pus în aplicare prin Decizie nr. 105/2007 începând cu 25.02.2008.

Excepţii

Art. 11. - Prevederile art. 5, 6, 7 şi 10 nu se aplică în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacă prelucrarea priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată.

CAPITOLUL IV
Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal

Informarea persoanei vizate

Art. 12. - (1) În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care această persoană posedă deja informaţiile respective:

a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;

b) scopul în care se face prelucrarea datelor;

c) informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza; existenţa drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;

d) orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.

(2) În cazul în care datele nu sunt obţinute direct de la persoana vizată, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care persoana vizată posedă deja informaţiile respective:

a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;

b) scopul în care se face prelucrarea datelor;

c) informaţii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenţa drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;

d) orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.

(3) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.

(4) Prevederile alin. (2) nu se aplică în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ştiinţifică, ori în orice alte situaţii în care furnizarea unor asemenea informaţii se dovedeşte imposibilă sau ar implica un efort disproporţionat faţă de interesul legitim care ar putea fi lezat, precum şi în situaţiile în care înregistrarea sau dezvăluirea datelor este expres prevăzută de lege.

Dreptul de acces la date

Art. 13. - (1) Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, cel puţin următoarele:

a) informaţii referitoare la scopurile prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;

b) comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum şi a oricărei informaţii disponibile cu privire la originea datelor;

c) informaţii asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;

d) informaţii privind existenţa dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot fi exercitate;

e) informaţii asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor de date cu caracter personal, prevăzut la art. 24, de a înainta plângere către autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului, în conformitate cu dispoziţiile prezentei legi.

(2) Persoana vizată poate solicita de la operator informaţiile prevăzute la alin. (1), printr-o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.

(3) Operatorul este obligat să comunice informaţiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).

(4) În cazul datelor cu caracter personal legate de starea de sănătate, cererea prevăzută la alin. (2) poate fi introdusă de persoana vizată fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele căreia este introdusă. La cererea operatorului sau a persoanei vizate comunicarea prevăzută la alin. (3) poate fi făcută prin intermediul unui cadru medical desemnat de persoana vizată.

(5) În cazul în care datele cu caracter personal legate de starea de sănătate sunt prelucrate în scop de cercetare ştiinţifică, dacă nu există, cel puţin aparent, riscul de a se aduce atingere drepturilor persoanei vizate şi dacă datele nu sunt utilizate pentru a lua decizii sau măsuri faţă de o anumită persoană, comunicarea prevăzută la alin. (3) se poate face şi într-un termen mai mare decât cel prevăzut la acel alineat, în măsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetării, şi nu mai târziu de momentul în care cercetarea este încheiată. În acest caz persoana vizată trebuie să îşi fi dat în mod expres şi neechivoc consimţământul ca datele să fie prelucrate în scop de cercetare ştiinţifică, precum şi asupra posibilei amânări a comunicării prevăzute la alin. (3) din acest motiv.

(6) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.

Dreptul de intervenţie asupra datelor

Art. 14. - (1) Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit:

a) după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;

b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;

c) notificarea către terţii cărora le-au fost dezvăluite datele a oricărei operaţiuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.

(2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.

(3) Operatorul este obligat să comunice măsurile luate în temeiul alin. (1), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).

Dreptul de opoziţie

Art. 15. - (1) Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauză.

(2) Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit şi fără nici o justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terţ, sau să fie dezvăluite unor terţi într-un asemenea scop.

(3) În vederea exercitării drepturilor prevăzute la alin. (1) şi (2) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.

(4) Operatorul este obligat să comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (3).

Excepţii

Art. 16. - (1) Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se aplică în cazul activităţilor prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciată eficienţa acţiunii sau obiectivul urmărit în îndeplinirea atribuţiilor legale ale autorităţii publice.

(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfăşurarea activităţilor menţionate la art. 2 alin. (5).

(3) După încetarea situaţiei care justifică aplicarea alin. (1) şi (2) operatorii care desfăşoară activităţile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.

(4) Autorităţile publice ţin evidenţa unor astfel de cazuri şi informează periodic autoritatea de supraveghere despre modul de soluţionare a lor.

Dreptul de a nu fi supus unei decizii individuale

Art. 17. - (1) Orice persoană are dreptul de a cere şi de a obţine:

a) retragerea sau anularea oricărei decizii care produce efecte juridice în privinţa sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii sale, precum competenţa profesională, credibilitatea, comportamentul său ori alte asemenea aspecte;

b) reevaluarea oricărei alte decizii luate în privinţa sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care întruneşte condiţiile prevăzute la lit. a).

(2) Respectându-se celelalte garanţii prevăzute de prezenta lege, o persoană poate fi supusă unei decizii de natura celei vizate la alin. (1), numai în următoarele situaţii:

a) decizia este luată în cadrul încheierii sau executării unui contract, cu condiţia ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută sau ca unele măsuri adecvate, precum posibilitatea de a-şi susţine punctul de vedere, să garanteze apărarea propriului interes legitim;

b) decizia este autorizată de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.

Dreptul de a se adresa justiţiei

Art. 18. - (1) Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost încălcate.

(2) Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.

(3) Instanţa competentă este cea în a cărei rază teritorială domiciliază reclamantul. Cererea de chemare în judecată este scutită de taxă de timbru.

CAPITOLUL V
Confidenţialitatea şi securitatea prelucrărilor

Confidenţialitatea prelucrărilor

Art. 19. - Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale.

Securitatea prelucrărilor

Art. 20. - (1) Operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegală.

(2) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare şi de costuri, un nivel de securitate adecvat în ceea ce priveşte riscurile pe care le reprezintă prelucrarea, precum şi în ceea ce priveşte natura datelor care trebuie protejate. Cerinţele minime de securitate vor fi elaborate de autoritatea de supraveghere şi vor fi actualizate periodic, corespunzător progresului tehnic şi experienţei acumulate.

Punere în aplicare prin Ordin 52/2002 :

ANEXĂ

CERINŢELE MINIME DE SECURITATE
a prelucrărilor de date cu caracter personal

Prezentele cerinţe minime de securitate a prelucrărilor de date cu caracter personal trebuie să stea la baza adoptării şi implementării de către operator a măsurilor tehnice şi organizatorice necesare pentru păstrarea confidenţialităţii şi integrităţii datelor cu caracter personal. În concordanţă cu acestea operatorii îşi vor stabili propriile politici şi proceduri de securitate.

Cerinţele minime de securitate a prelucrărilor de date cu caracter personal acoperă următoarele aspecte:

1. Identificarea şi autentificarea utilizatorului

Prin utilizator se înţelege orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.

Utilizatorii, pentru a căpăta acces la o bază de date cu caracter personal, trebuie să se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatură (un şir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.

Fiecare utilizator are propriul său cod de identificare. Niciodată mai mulţi utilizatori nu trebuie să aibă acelaşi cod de identificare.

Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată trebuie dezactivate şi distruse după un control prealabil intern al operatorului. Perioada după care codurile trebuie dezactivate şi distruse se stabileşte de operator.

Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea poate fi făcută prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopică, amprenta vocală, angiografia retiniană etc.

Parolele sunt şiruri de caractere. Cu cât şirul de caractere este mai lung, cu atât parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie să fie afişate în clar pe monitor. Parolele trebuie schimbate periodic în funcţie de politicile de securitate ale entităţii (operator sau persoană împuternicită). Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi de operator.

Operatorul trebuie să solicite realizarea unui sistem informaţional care să refuze automat accesul unui utilizator după 5 introduceri greşite ale parolei.

Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare trebuie să păstreze confidenţialitatea acestora şi să răspundă în acest sens în faţa operatorului.

Fiecare entitate va stabili o procedură proprie de administrare şi gestionare a conturilor de utilizator.

Operatorii autorizează anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate.

Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entităţii.

2. Tipul de acces

Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta operatorii trebuie să stabilească tipurile de acces după funcţionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.

Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal după ce acestea au fost transformate în date anonime.

Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale.

Pentru activitatea de pregătire a utilizatorilor sau pentru realizarea de prezentări se vor folosi date anonime. Angajaţii care predau cursurile de pregătire vor folosi date cu caracter personal pe parcursul propriei lor pregătiri.

Operatorul va stabili modalităţile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru această prelucrare de date cu caracter personal trebuie limitată la câţiva utilizatori.

3. Colectarea datelor

Operatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional.

Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizaţi desemnaţi de operator.

Operatorul va lua măsuri pentru ca sistemul informaţional să înregistreze cine a făcut modificarea, data şi ora modificării. Pentru o mai bună administrare operatorul va lua măsuri ca sistemul informaţional să menţină datele şterse sau modificate.

4. Execuţia copiilor de siguranţă

Operatorul va stabili intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranţă vor fi numiţi de operator, într-un număr restrâns. Copiile de siguranţă se vor stoca în alte camere, în fişete metalice cu sigiliu aplicat, şi, dacă este posibil, chiar în camere din altă clădire.

Operatorul va lua măsuri ca accesul la copiile de siguranţă să fie monitorizat.

5. Computerele şi terminalele de acces

Computerele şi alte terminale de acces vor fi instalate în încăperi cu acces restricţionat. Dacă nu pot fi asigurate aceste condiţii, computerele se vor instala în încăperi care se pot încuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei ori cartele magnetice.

Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilită de operator, sesiunea de lucru trebuie închisă automat. Mărimea acestei perioade se determină în funcţie de operaţiile care trebuie executate.

Terminalele de acces folosite în relaţia cu publicul, pe care apar date cu caracter personal, vor fi poziţionate astfel încât să nu poată fi văzute de public şi după o perioadă scurtă, stabilită de operator, în care nu se acţionează asupra lor, acestea trebuie ascunse.

6. Fişierele de acces

Operatorul este obligat să ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fişier de acces (numit log la prelucrările automate) sau într-un registru pentru prelucrările manuale de date cu caracter personal, stabilit de operator. Informaţiile înregistrate în fişierul de acces sau în registru vor fi:

- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);

- numele fişierului accesat (fişei);

- numărul înregistrărilor efectuate;

- tipul de acces;

- codul operaţiei executate sau programul folosit;

- data accesului (an, lună, zi);

- timpul (ora, minutul, secunda).

Pentru prelucrările automate aceste informaţii vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.

Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar.

Fişierele de acces trebuie să facă posibilă identificarea de către operator sau de către persoana împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.

7. Sistemele de telecomunicaţii

Operatorul este obligat să facă periodic controlul autentificărilor şi tipurilor de acces pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea sistemelor de telecomunicaţii.

Operatorii sunt obligaţi să conceapă sistemul de telecomunicaţii astfel încât datele cu caracter personal să nu poată fi interceptate sau transmise de oriunde. Dacă sistemul de telecomunicaţii nu poate fi astfel securizat, operatorul este obligat să impună folosirea metodei de criptare pentru transmisia datelor cu caracter personal.

Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.

8. Instruirea personalului

În cadrul cursurilor de pregătire a utilizatorilor operatorul este obligat să facă informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii utilizatorului.

Utilizatorii care au acces la date cu caracter personal vor fi instruiţi de către operator asupra confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe monitoare în timpul activităţii. Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.

9. Folosirea computerelor

Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) operatorul va lua măsuri care vor consta în:

a) interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau dubioase;

b) informarea utilizatorilor în privinţa pericolului privind viruşii informatici;

c) implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice;

d) dezactivarea, pe cât posibil, a tastei "Print screen", atunci când sunt afişate pe monitor date cu caracter personal, interzicându-se astfel scoaterea la imprimantă a acestora.

10. Imprimarea datelor

Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru această operaţiune de către operator. Operatorii sunt obligaţi să aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale.

Fiecare entitate îşi va aproba propriul sistem de securitate, ţinând seama de aceste cerinţe minime de securitate a prelucrărilor de date cu caracter personal, iar în funcţie de importanţa datelor cu caracter personal prelucrate, îşi va impune măsuri de securitate suplimentare.

(3) Operatorul, atunci când desemnează o persoană împuternicită, este obligat să aleagă o persoană care prezintă suficiente garanţii în ceea ce priveşte măsurile de securitate tehnică şi organizatorice cu privire la prelucrările ce vor fi efectuate, precum şi să vegheze la respectarea acestor măsuri de către persoana desemnată.

(4) Autoritatea de supraveghere poate decide, în cazuri individuale, asupra obligării operatorului la adoptarea unor măsuri suplimentare de securitate, cu excepţia celor care privesc garantarea securităţii serviciilor de telecomunicaţii.

(5) Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfăşoare în baza unui contract încheiat în formă scrisă, care va cuprinde în mod obligatoriu:

a) obligaţia persoanei împuternicite de a acţiona doar în baza instrucţiunilor primite de la operator;

b) faptul că îndeplinirea obligaţiilor prevăzute la alin. (1) revine şi persoanei împuternicite.

CAPITOLUL VI
Supravegherea şi controlul prelucrărilor de date cu caracter personal

Autoritatea de supraveghere

Art. 21. - (1) Autoritatea de supraveghere, în sensul prezentei legi, este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

___________

Alineatul (1) a fost modificat prin punctul 1. din Lege nr. 102/2005 începând cu 12.05.2005.

(2) Autoritatea de supraveghere îşi desfăşoară activitatea în condiţii de completă independenţă şi imparţialitate.

(3) Autoritatea de supraveghere monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa prezentei legi.

În acest scop autoritatea de supraveghere exercită următoarele atribuţii:

a) elaborează formularele tipizate ale notificărilor şi ale registrelor proprii;

Punere în aplicare prin Decizie 95/2008 :

ANEXĂ*)

*) Anexa este reprodusă în facsimil.

┌─────────────────────────────────────────┐ ┌──────────────────────────────────────────┐ │ AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A │ │ SE COMPLETEAZĂ DE A.N.S.P.D.C.P. │ │PRELUCRĂRII DATELOR CU CARACTER PERSONAL │ │ │ │ (A.N.S.P.D.C.P.) │ │NR. R.G. ─_─_─_─_─_─_─_─_─_─ │ │Bd. Gheorghe Magheru nr. 28-30, sectorul │ │DATA ─_─_─_─_─_─_─_─_─_─ │ │1, Bucureşti, telefon 031.805.9211 │ │NR. NOTIFICARE ─_─_─_─_─_─_─_─_─_─ │ │ │ └─────────────────────────────────────────┘ └──────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │ NOTIFICARE PENTRU PRELUCRAREA DATELOR CU CARACTER PERSONAL │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │NOTIFICARE GENERALĂ*) [ ] NOTIFICARE SIMPLIFICATĂ**) [ ] NOTIFICARE SPECIALĂ***) [ ] │ │ │ │*) Se completează toate rubricile. │ │**) Se completează numai rubricile I, II, III, IV, VI, IX, X, XI, XII, XIII şi XIV, de către operatorii care │ │ prelucrează date cu caracter personal pentru scopurile stabilite prin decizie a preşedintelui A.N.S.P.D.C.P. │ │***) Se completează numai rubricile I, III, IV, V, IX, X şi XI de către autorităţile publice care prelucrează date │ │ personale potrivit art. 2 alin. (5) din Legea nr. 677/2001. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │NOTIFICARE, NOUĂ [ ] MODIFICAREA/COMPLETAREA UNEI NOTIFICĂRI ÎNREGISTRATE ÎN R.E.P.D.C.P*) [ ] │ │ PRECIZAŢI NUMĂRUL DE ÎNREGISTRARE**): ─_─_─_─_─_─_─_─_─_─ │ │ │ │ *) Registrul de Evidenţă a Prelucrărilor de Date cu Caracter Personal │ │**) Atenţie┌ Se menţionează numărul unei notificări deja înregistrate în R.E.P.D.C.P. │ │ Neprecizarea acestuia atrage imposibilitatea analizării şi înregistrării acestei notificări. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ I. Operatorul ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │Numele/Denumirea operatorului ........................................................................................│ │Adresa/Sediul ........................................................................................................│ │Cod poştal .............. Ţara .................. Judeţul ................ Localitatea ............... Sectorul ......│ │Tel: ............................... Fax: ................................ CIF .......................................│ │E-mail: ..............................................................................................................│ │ (pe această adresă se va primi confirmarea înregistrării formularului în Registrul General al ANSPDCP) │ │ │ │Persoană fizică: [ ] Persoană fizică autorizată: [ ] Persoană juridică: [ ] │ │Sector public [ ] Autoritate centrală [ ] Autoritate locală [ ] Altele [ ] │ │Sector privat [ ] │ │Membru al unei asociaţii (în sensul art. 28 din Legea nr. 677/2001) ..................................................│ │Persoană de contact: Numele şi prenumele ................................................ Telefon ...................│ │ │ │ DECLARAŢIE │ │ │ │Declar, pe propria răspundere, că toate informaţiile furnizate în acest formular sunt complete, exacte şi corecte. │ │Numele şi prenumele operatorului/reprezentantului legal: _____________________________________________________________│ │Funcţia/Profesia: ____________________________________________________________________________________________________│ │Data: ___________________________________________________ │ │ │ │ ┌────────┐ │ │ Semnătura, │ L.S. │ │ │ __________________ └────────┘ │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │ NOTĂ: │ │ │ │ Înainte de a completa rubricile din prezentul formular vă recomandăm să consultaţi instrucţiunile cuprinse în │ │Ghidul de completare a notificărilor. │ │ Notificarea se completează cu majuscule, în mod clar şi concis. Informaţiile din acest formular sunt obligatorii şi│ │sunt destinate a fi incluse în R.E.P.D.C.P. al cărui scop este asigurarea caracterului public al prelucrărilor de │ │date. În cazul în care intervin schimbări în activitatea de prelucrare a datelor cu caracter personal sau există o │ │solicitare în acest sens din partea autorităţii de supraveghere, operatorul are obligaţia de a completa sau modifica │ │notificarea, în termen legal. Omisiunea de a notifica, precum şi notificarea incompletă sau care conţine informaţii │ │false constituie contravenţii şi se sancţionează cu amendă potrivit art. 31 din Legea nr. 677/2001. │ │ Numărul de notificare, primit ulterior depunerii notificării la autoritatea de supraveghere, trebuie menţionat pe │ │orice act prin care datele cu caracter personal sunt colectate, stocate sau dezvăluite. │ │ Persoanele fizice ale căror date cu caracter personal sunt menţionate la secţiunile I, II şi III ale formularului │ │îşi pot exercita drepturile de acces, opoziţie, rectificare şi ştergere a datelor, adresându-se A.N.S.P.D.C.P. │ │printr-o cerere scrisă, datată şi semnată. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ II. Reprezentantul operatorului situat într-un stat terţ ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │Numele/Denumirea reprezentantului ....................................................................................│ │Adresa/Sediul ........................................................................................................│ │Cod poştal .............. Ţara .................. Judeţul ................ Localitatea ............... Sectorul ......│ │Tel: ............................... Fax: ................................ CIF .......................................│ │E-mail: ..............................................................................................................│ │Persoană fizică: [ ] Persoană fizică autorizată: [ ] Persoană juridică: [ ] │ │Sector public [ ] Autoritate centrală [ ] Autoritate locală [ ] Altele [ ] │ │Sector privat [ ] │ │Membru al unei asociaţii (în sensul art. 28 din Legea nr. 677/2001) ..................................................│ │Persoană de contact: Numele şi prenumele ................................................ Telefon ...................│ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ III. Împuternicitul care prelucrează datele pe seama operatorului ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │Anexaţi documentul (pe suport de hârtie sau magnetic) conţinând următoarele date ale persoanei/persoanelor │ │împuternicite: numele/denumirea, adresa/sediul, ţara, judeţul, localitatea, sectorul, codul poştal, telefon, fax, │ │e-mail. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ IV. Scopul prelucrării ┌──────┬─────────────────────────────────────────────────┬──────┬──────────────────────────────────────────────────────┐ │ 1 [ ]│resurse umane │20 [ ]│servicii de consiliere legală şi reprezentare în │ │ │ │ │justiţie │ │ 2 [ ]│gestiune economico-financiară şi administrativă │21 [ ]│servicii financiar-bancare │ │ 3 [ ]│selecţie şi plasare forţă de muncă │22 [ ]│rapoarte de credit │ │ 4 [ ]│reclamă, marketing şi publicitate │23 [ ]│colectare debite/recuperare creanţe │ │ 5 [ ]│servicii de sănătate │24 [ ]│servicii de asigurări şi reasigurări │ │ 6 [ ]│educaţie şi cultură │25 [ ]│tranzacţii imobiliare │ │ 7 [ ]│protecţie şi asistenţă socială │26 [ ]│servicii hoteliere şi de turism │ │ 8 [ ]│urbanism şi amenajarea teritoriului │27 [ ]│monitorizarea/securitatea persoanelor, spaţiilor │ │ │ │ │şi/sau bunurilor publice/private │ │ 9 [ ]│fond funciar │28 [ ]│servicii de comunicaţii electronice │ │10 [ ]│cadastru şi publicitate imobiliară │29 [ ]│constatarea şi sancţionarea contravenţiilor │ │11 [ ]│taxe şi impozite │30 [ ]│prevenirea, cercetarea, reprimarea infracţiunilor, │ │ │ │ │menţinerea ordinii publice │ │12 [ ]│evidenţa populaţiei şi stare civilă │31 [ ]│alte activităţi desfăşurate în domeniul dreptului │ │ │ │ │penal (precizaţi) ....................................│ │13 [ ]│evidenţă electorală │ │......................................................│ │14 [ ]│emitere autorizaţii/licenţe │ │......................................................│ │15 [ ]│statistică │ │......................................................│ │16 [ ]│cercetare ştiinţifică │32 [ ]│alte scopuri (precizaţi) .............................│ │17 [ ]│administrarea justiţiei │ │......................................................│ │18 [ ]│activitate notarială │ │......................................................│ │19 [ ]│activitate politică │ │......................................................│ └──────┴─────────────────────────────────────────────────┴──────┴──────────────────────────────────────────────────────┘ V. Temeiul legal al prelucrării*) ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │Precizaţi actele normative specifice domeniului de activitate: │ │......................................................................................................................│ │......................................................................................................................│ │......................................................................................................................│ │*) Atenţie┌ Se completează numai pentru Notificarea specială. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ VI. Categorii de persoane vizate ┌──────┬─────────────────────────────────────────────────┬──────┬──────────────────────────────────────────────────────┐ │1 [ ]│clienţi/potenţiali clienţi │14 [ ]│pasageri │ │2 [ ]│consumatori/potenţiali consumatori │15 [ ]│membri │ │3 [ ]│debitori │16 [ ]│titulari ai drepturilor reale │ │4 [ ]│pacienţi │17 [ ]│electori/susţinători ai partidelor politice │ │5 [ ]│cadre medico-sanitare │18 [ ]│subiecţi ai unei cercetări, publicaţii sau emisiuni │ │ │ │ │radio-tv │ │6 [ ]│farmacişti │19 [ ]│justiţiabili │ │7 [ ]│cadre didactice │20 [ ]│contribuabili │ │8 [ ]│studenţi │21 [ ]│abonaţi │ │9 [ ]│minori │22 [ ]│angajaţi │ │10 [ ]│beneficiari ai serviciilor de protecţie şi │23 [ ]│membrii familiei persoanei vizate │ │ │asistenţă socială │ │ │ │11 [ ]│beneficiari ai serviciilor publice locale │24 [ ]│altele (precizaţi) │ │12 [ ]│beneficiari ai asigurărilor │ │......................................................│ │13 [ ]│vizitatori │ │......................................................│ └──────┴─────────────────────────────────────────────────┴──────┴──────────────────────────────────────────────────────┘ VII. Motivele care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6) din Legea nr. 677/2001 ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │[ ] scopuri statistice [ ] cercetare ştiinţifică [ ] cercetare istorică [ ] altele .............................│ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ VIII. Modul în care persoanele vizate sunt informate asupra drepturilor lor ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │[ ] în scris*) [ ] prin afişare la sediu*) [ ] verbal [ ] exceptat prin lege**) │ │[ ] prin afişare pe pagina web***) ...................................................................................│ │ *) Se ataşează modelul notei de informare. │ │ **) Potrivit art. 12 alin. (3) sau (4) din Legea nr. 677/2001. │ │***) Se menţionează adresa URL a paginii WEB. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ IX. Categorii de date prelucrate ┌──────┬─────────────────────────────────────────────────┬──────┬──────────────────────────────────────────────────────┐ │ 1 [ ]│numele şi prenumele │16 [ ]│profesie │ │ 2 [ ]│numele şi prenumele membrilor de familie │17 [ ]│loc de muncă │ │ 3 [ ]│sexul │18 [ ]│formare profesională - diplome - studii │ │ 4 [ ]│porecla/pseudonimul │19 [ ]│situaţie familială │ │ 5 [ ]│data şi locul naşterii │20 [ ]│situaţie militară │ │ 6 [ ]│cetăţenia │21 [ ]│situaţie economică şi financiară │ │ 7 [ ]│semnătura │22 [ ]│date privind bunurile deţinute │ │ 8 [ ]│date din actele de stare civilă │23 [ ]│date bancare │ │ 9 [ ]│date din permisul de conducere/certificatul de │24 [ ]│obişnuinţe/preferinţe/comportament │ │ │înmatriculare │ │ │ │10 [ ]│nr. dosarului de pensie │25 [ ]│imagine │ │11 [ ]│nr. asigurării sociale/asigurării de sănătate │26 [ ]│voce │ │12 [ ]│caracteristici fizice/antropometrice │27 [ ]│date de geolocalizare/date de trafic │ │13 [ ]│telefon/fax │28 [ ]│altele (precizaţi): ..................................│ │14 [ ]│adresă (domiciliu/reşedinţă) │ │......................................................│ │15 [ ]│e-mail │ │......................................................│ │ │ │ │......................................................│ └──────┴─────────────────────────────────────────────────┴──────┴──────────────────────────────────────────────────────┘ X. Categorii de date cu caracter special ┌──────┬─────────────────────────────────────────────────┬──────┬──────────────────────────────────────────────────────┐ │ 1 [ ]│date cu caracter personal care denotă originea │11 [ ]│date privind starea de sănătate │ │ │rasială a persoanelor vizate │ │ │ │ 2 [ ]│date cu caracter personal care denotă originea │12 [ ]│date genetice │ │ │etnică a persoanelor vizate │ │ │ │ 3 [ ]│date cu caracter personal care denotă │13 [ ]│dale biometrice │ │ │convingerile politice ale persoanelor vizate │ │ │ │ 4 [ ]│date cu caracter personal care denotă │14 [ ]│date privind viaţa sexuală │ │ │convingerile filozofice ale persoanelor vizate │ │ │ │ 5 [ ]│date cu caracter personal care denotă │15 [ ]│date privind săvârşirea de infracţiuni │ │ │convingerile religioase ale persoanelor vizate │ │ │ │ 6 [ ]│date cu caracter personal care denotă apartenenţa│16 [ ]│date privind condamnări penale/măsuri de siguranţă │ │ │sindicală a persoanelor vizate │ │ │ │ 7 [ ]│date cu caracter personal care denotă apartenenţa│17 [ ]│date privind sancţiuni disciplinare │ │ │la un partid politic a persoanelor vizate │ │ │ │ 8 [ ]│date cu caracter personal care denotă apartenenţa│18 [ ]│date privind sancţiuni contravenţionale │ │ │la o organizaţie religioasă a persoanelor vizate │ │ │ │ 9 [ ]│codul numeric personal │19 [ ]│date privind cazierul judiciar │ │10 [ ]│seria şi numărul actului de │20 [ ]│altele (precizaţi) ...................................│ │ │identitate/paşaportului │ │......................................................│ └──────┴─────────────────────────────────────────────────┴──────┴──────────────────────────────────────────────────────┘ XI. Categorii de destinatari ┌──────┬─────────────────────────────────────────────────┬──────┬──────────────────────────────────────────────────────┐ │ 1 [ ]│persoana vizată │13 [ ]│societăţi de asigurare şi reasigurare │ │ 2 [ ]│reprezentanţii legali ai persoanei vizate │14 [ ]│organizaţii profesionale │ │ 3 [ ]│împuternicitul operatorului │15 [ ]│organizaţii politice │ │ 4 [ ]│partenerii contractuali ai operatorului │16 [ ]│asociaţii şi fundaţii │ │ 5 [ ]│alte companii din acelaşi grup cu operatorul │17 [ ]│mass-media │ │ 6 [ ]│autorităţi publice centrale/locale │18 [ ]│angajatorul/potenţialul angajator al persoanei vizate │ │ 7 [ ]│servicii sociale şi de sănătate │19 [ ]│agenţii de selecţie şi plasare a forţei de muncă │ │ 8 [ ]│instituţii de învăţământ şi educaţie │20 [ ]│organizaţii de cercetare a pieţei │ │ 9 [ ]│furnizorii de servicii şi bunuri │21 [ ]│altele (precizaţi) │ │10 [ ]│societăţi bancare │ │......................................................│ │11 [ ]│birouri de credit │ │......................................................│ │12 [ ]│agenţii de colectare a debitelor/recuperare a │ │......................................................│ │ │creanţelor │ │......................................................│ └──────┴─────────────────────────────────────────────────┴──────┴──────────────────────────────────────────────────────┘ XII. Garanţiile care însoţesc dezvăluirea datelor către terţi ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │[ ] consimţământul persoanei vizate [ ] acte normative*) ......................................................│ │[ ] alte garanţii (precizaţi) ........................................................................................│ │*) Se precizează numărul, data şi titlul actului normativ. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ XIII. Încheierea operaţiunilor de prelucrare şi destinaţia ulterioară a datelor ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │[ ] data estimată*) ..................................................................................................│ │[ ] data certă a încetării operaţiunilor de prelucrare**) ............................................................│ │ prin: [ ] prelucrare în alt scop cu consimţământul persoanei vizate │ │ [ ] ştergere [ ] distrugere [ ] arhivare │ │[ ] transformare în date anonime şi stocare exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică │ │[ ] transferare unui alt operator │ │ *) Se completează la data depunerii notificării. │ │**) Se completează la data încheierii tuturor operaţiunilor de prelucrare. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ XIV. Transferuri de date în străinătate ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │1. În state din Uniunea Europeană [ ] │ │2. În alte state din Zona Economică Europeană [ ] │ │3. În state cărora Comisia Europeană le-a recunoscut prin decizie un nivel de protecţie adecvat [ ] │ │Precizaţi statele: ...................................................................................................│ │Precizaţi scopul transferului, prin menţionarea indicativului respectiv de la rubrica IV: ............................│ │Precizaţi datele/categoriile de date transferate, prin menţionarea indicativului respectiv de la rubricile IX şi/sau X│ │......................................................................................................................│ │4. În alte state decât cele de la punctele 1, 2 şi 3 [ ] │ │Precizaţi statele: ...................................................................................................│ │Precizaţi scopul transferului, prin menţionarea indicativului respectiv de la rubrica IV: ............................│ │Precizaţi datele/categoriile de date transferate, prin menţionarea indicativului respectiv de la rubricile IX şi/sau X│ │......................................................................................................................│ │Transfer în baza art. 29 alin. (4) din Legea nr. 677/2001*) [ ] │ │Transfer în baza art. 30 din Legea nr. 677/2001 [ ] │ │*) Se anexează copia contractului încheiat între importatorul şi exportatorul de date. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ XV. Măsurile luate pentru asigurarea securităţii prelucrării*) ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │......................................................................................................................│ │......................................................................................................................│ │......................................................................................................................│ │......................................................................................................................│ │*) Se realizează o descriere generală care să permită aprecierea preliminară a măsurilor luate pentru asigurarea │ │ securităţii prelucrării. │ │ Se anexează documentul/ele conţinând politica de securitate a prelucrărilor de date cu caracter personal sau │ │ extrase din politicile interne ale operatorului care conţin aceste măsuri. │ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘ XVI. Sistemul de evidenţă utilizat şi legăturile cu alte prelucrări de date sau sisteme de evidenţă ┌──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐ │Sistem manual [ ] Sistem automatizat [ ] Mixt [ ] │ │Prelucrarea are legătură cu alte sisteme de evidenţă/prelucrări: da [ ] nu [ ] │ │În cazul în care aţi bifat da, precizaţi dacă sistemul de evidenţă este situat: pe teritoriul României [ ] │ │ în străinătate [ ] │ │......................................................................................................................│ │......................................................................................................................│ └──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘

b) primeşte şi analizează notificările privind prelucrarea datelor cu caracter personal, anunţând operatorului rezultatele controlului prealabil;

c) autorizează prelucrările de date în situaţiile prevăzute de lege;

d) poate dispune, în cazul în care constată încălcarea dispoziţiilor prezentei legi, suspendarea provizorie sau încetarea prelucrării datelor, ştergerea parţială ori integrală a datelor prelucrate şi poate să sesiseze organele de urmărire penală sau să intenteze acţiuni în justiţie;

d¹) informează persoanele fizice sau/şi juridice care activează în aceste domenii, în mod direct sau prin intermediul structurilor asociative ale acestora, asupra necesităţii respectării obligaţiilor şi îndeplinirii procedurilor prevăzute de prezenta lege;

___________

Litera d^1) a fost introdusă prin punctul 2. din Lege nr. 102/2005 începând cu 12.05.2005.

e) păstrează şi pune la dispoziţie publicului registrul de evidenţă a prelucrărilor de date cu caracter personal;

f) primeşte şi soluţionează plângeri, sesizări sau cereri de la persoanele fizice şi comunică soluţia dată ori, după caz, diligenţele depuse;

g) efectuează investigaţii din oficiu sau la primirea unor plângeri ori sesizări;

h) este consultată atunci când se elaborează proiecte de acte normative referitoare la protecţia drepturilor şi libertăţilor persoanelor, în privinţa prelucrării datelor cu caracter personal;

i) poate face propuneri privind iniţierea unor proiecte de acte normative sau modificarea actelor normative în vigoare în domenii legate de prelucrarea datelor cu caracter personal;

j) cooperează cu autorităţile publice şi cu organele administraţiei publice, centralizează şi analizează rapoartele anuale de activitate ale acestora privind protecţia persoanelor în privinţa prelucrării datelor cu caracter personal, formulează recomandări şi avize asupra oricărei chestiuni legate de protecţia drepturilor şi libertăţilor fundamentale în privinţa prelucrării datelor cu caracter personal, la cererea oricărei persoane, inclusiv a autorităţilor publice şi a organelor administraţiei publice; aceste recomandări şi avize trebuie să facă menţiune despre temeiurile pe care se sprijină şi se comunică în copie şi Ministerului Justiţiei; atunci când recomandarea sau avizul este cerut de lege, se publică în Monitorul Oficial al României, Partea I;

k) cooperează cu autorităţile similare de peste hotare în vederea asistenţei mutuale, precum şi cu persoanele cu domiciliul sau cu sediul în străinătate, în scopul apărării drepturilor şi libertăţilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;

l) îndeplineşte alte atribuţii prevăzute de lege.

m) modul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal se stabileşte prin lege.

___________

Litera m) a fost introdusă prin punctul 3. din Lege nr. 102/2005 începând cu 12.05.2005.

(4) Întregul personal al autorităţii de supraveghere are obligaţia de a păstra secretul profesional, cu excepţiile prevăzute de lege, pe termen nelimitat, asupra informaţiilor confidenţiale sau clasificate la care are sau a avut acces în exercitarea atribuţiilor de serviciu, inclusiv după încetarea raporturilor juridice cu autoritatea de supraveghere.

Notificarea către autoritatea de supraveghere

Art. 22. - (1) Operatorul este obligat să notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate.

(2) Notificarea nu este necesară în cazul în care prelucrarea are ca unic scop ţinerea unui registru destinat prin lege informării publicului şi deschis spre consultare publicului în general sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele strict necesare ţinerii registrului menţionat.

(3) Notificarea va cuprinde cel puţin următoarele informaţii:

a) numele sau denumirea şi domiciliul ori sediul operatorului şi ale reprezentantului desemnat al acestuia, dacă este cazul;

b) scopul sau scopurile prelucrării;

c) o descriere a categoriei sau a categoriilor de persoane vizate şi a datelor ori a categoriilor de date ce vor fi prelucrate;

d) destinatarii sau categoriile de destinatari cărora se intenţionează să li se dezvăluie datele;

e) garanţiile care însoţesc dezvăluirea datelor către terţi;

f) modul în care persoanele vizate sunt informate asupra drepturilor lor; data estimată pentru încheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioară a datelor;

g) transferuri de date care se intenţionează să fie făcute către alte state;

h) o descriere generală care să permită aprecierea preliminară a măsurilor luate pentru asigurarea securităţii prelucrării;

i) specificarea oricărui sistem de evidenţă a datelor cu caracter personal, care are legătură cu prelucrarea, precum şi a eventualelor legături cu alte prelucrări de date sau cu alte sisteme de evidenţă a datelor cu caracter personal, indiferent dacă se efectuează, respectiv dacă sunt sau nu sunt situate pe teritoriul României;

j) motivele care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice ori în scopuri statistice, de cercetare istorică sau ştiinţifică.

(4) Dacă notificarea este incompletă, autoritatea de supraveghere va solicita completarea acesteia.

(5) În limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita şi alte informaţii, în special privind originea datelor, tehnologia de prelucrare automată utilizată şi detalii referitoare la măsurile de securitate. Dispoziţiile prezentului alineat nu se aplică în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice.

(6) Dacă se intenţionează ca datele care sunt prelucrate să fie transferate în străinătate, notificarea va cuprinde şi următoarele elemente:

a) categoriile de date care vor face obiectul transferului;

b) ţara de destinaţie pentru fiecare categorie de date.

(7) Abrogat prin alineatul (2) din Ordonanţă de urgenţă nr. 36/2007 începând cu 22.10.2007.

(8) Autorităţile publice care efectuează prelucrări de date cu caracter personal în legătură cu activităţile descrise la art. 2 alin. (5), în temeiul legii sau în îndeplinirea obligaţiilor asumate prin acorduri internaţionale ratificate, sunt scutite de taxa prevăzută la alin. (7). Notificarea se va transmite în termen de 15 zile de la intrarea în vigoare a actului normativ care instituie obligaţia respectivă şi va cuprinde numai următoarele elemente:

a) denumirea şi sediul operatorului;

b) scopul şi temeiul legal al prelucrării;

c) categoriile de date cu caracter personal supuse prelucrării.

(9) Autoritatea de supraveghere poate stabili şi alte situaţii în care notificarea nu este necesară, în afara celei prevăzute la alin. (2), sau situaţii în care notificarea se poate efectua într-o formă simplificată, precum şi conţinutul acesteia, numai în unul dintre următoarele cazuri:

a) atunci când, luând în considerare natura datelor destinate să fie prelucrate, prelucrarea nu poate afecta, cel puţin aparent, drepturile persoanelor vizate, cu condiţia să precizeze expres scopurile în care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cărora datele le pot fi dezvăluite şi perioada pentru care datele pot fi stocate;

b) atunci când prelucrarea se efectuează în condiţiile art. 7 alin. (2) lit. d).

___________

Pus în aplicare prin Decizie nr. 91/2006 începând cu 02.04.2012.

Punere în aplicare prin Decizie 91/2006 :

Art. 1. - Notificarea prelucrării datelor cu caracter personal nu este necesară în următoarele cazuri:

a) când prelucrarea datelor cu caracter personal referitoare la petiţionari este efectuată de autorităţile şi instituţiile publice centrale şi locale, serviciile publice descentralizate ale ministerelor şi ale celorlalte organe centrale, companiile şi societăţile naţionale, societăţile comerciale de interes judeţean sau local şi regiile autonome, în vederea îndeplinirii unor obligaţii legale;

b) când prelucrarea datelor cu caracter personal referitoare la propriii angajaţi şi la colaboratorii externi este efectuată de entităţile de drept public şi de drept privat, în vederea îndeplinirii unor obligaţii legale;

c) când prelucrarea datelor cu caracter personal referitoare la proprietarii sau chiriaşii unui imobil folosit în comun este efectuată de către asociaţiile de proprietari sau de locatari, în exercitarea drepturilor şi obligaţiilor stabilite prin lege, în scopul administrării acelui imobil.

___________

Pus în aplicare prin Decizie nr. 28/2007 începând cu 16.03.2007.

Controlul prealabil

Art. 23. - (1) Autoritatea de supraveghere va stabili categoriile de operaţiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor.

___________

Pus în aplicare prin Decizie nr. 11/2009 începând cu 12.03.2009.

(2) Dacă pe baza notificării autoritatea de supraveghere constată că prelucrarea se încadrează în una dintre categoriile menţionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil începerii prelucrării respective, cu anunţarea operatorului.

(3) Operatorii care nu au fost anunţaţi în termen de 5 zile de la data notificării despre efectuarea unui control prealabil pot începe prelucrarea.

(4) În situaţia prevăzută la alin. (2) autoritatea de supraveghere este obligată ca, în termen de cel mult 30 de zile de la data notificării, să aducă la cunoştinţă operatorului rezultatul controlului efectuat, precum şi decizia emisă în urma acestuia.

Registrul de evidenţă a prelucrărilor de date cu caracter personal

Art. 24. - (1) Autoritatea de supraveghere păstrează un registru de evidenţă a prelucrărilor de date cu caracter personal, notificate în conformitate cu prevederile art. 22. Registrul va cuprinde toate informaţiile prevăzute la art. 22 alin. (3).

(2) Fiecare operator primeşte un număr de înregistrare. Numărul de înregistrare trebuie menţionat pe orice act prin care datele sunt colectate, stocate sau dezvăluite.

___________

Pus în aplicare prin Ordin nr. 2151/2011 începând cu 03.06.2011.

(3) Orice schimbare de natură să afecteze exactitatea informaţiilor înregistrate va fi comunicată autorităţii de supraveghere în termen de 5 zile. Autoritatea de supraveghere va dispune de îndată efectuarea menţiunilor corespunzătoare în registru.

(4) Activităţile de prelucrare a datelor cu caracter personal, începute anterior intrării în vigoare a prezentei legi, vor fi notificate în vederea înregistrării în termen de 15 zile de la data intrării în vigoare a prezentei legi.

(5) Registrul de evidenţă a prelucrărilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileşte de autoritatea de supraveghere.

Plângeri adresate autorităţii de supraveghere

Art. 25. - (1) În vederea apărării drepturilor prevăzute de prezenta lege persoanele ale căror date cu caracter personal fac obiectul unei prelucrări care cade sub incidenţa prezentei legi pot înainta plângere către autoritatea de supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana lezată poate împuternici o asociaţie sau o fundaţie să îi reprezinte interesele.

(2) Plângerea către autoritatea de supraveghere nu poate fi înaintată dacă o cerere în justiţie, având acelaşi obiect şi aceleaşi părţi, a fost introdusă anterior.

(3) În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea către autoritatea de supraveghere nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut către operator.

(4) În vederea soluţionării plângerii, dacă apreciază că este necesar, autoritatea de supraveghere poate audia persoana vizată, operatorul şi, dacă este cazul, persoana împuternicită sau asociaţia ori fundaţia care reprezintă interesele persoanei vizate. Aceste persoane au dreptul de a înainta cereri, documente şi memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.

(5) Dacă plângerea este găsită întemeiată, autoritatea de supraveghere poate decide oricare dintre măsurile prevăzute la art. 21 alin. (3) lit. d). Interdicţia temporară a prelucrării poate fi instituită numai până la încetarea motivelor care au determinat luarea acestei măsuri.

(6) Decizia trebuie motivată şi se comunică părţilor interesate în termen de 30 de zile de la data primirii plângerii.

(7) Autoritatea de supraveghere poate ordona, dacă apreciază necesar, suspendarea unora sau tuturor operaţiunilor de prelucrare până la soluţionarea plângerii în condiţiile alin. (5).

(8) Autoritatea de supraveghere se poate adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege persoanelor vizate. Instanţa competentă este Tribunalul Municipiului Bucureşti. Cererea de chemare în judecată este scutită de taxa de timbru.

(9) La cererea persoanelor vizate, pentru motive întemeiate, instanţa poate dispune suspendarea prelucrării până la soluţionarea plângerii de către autoritatea de supraveghere.

(10) Prevederile alin. (4)-(9) se aplică în mod corespunzător şi în situaţia în care autoritatea de supraveghere află pe orice altă cale despre săvârşirea unei încălcări a drepturilor recunoscute de prezenta lege persoanelor vizate.

Contestarea deciziilor autorităţii de supraveghere

Art. 26. - (1) Împotriva oricărei decizii emise de autoritatea de supraveghere în temeiul dispoziţiilor prezentei legi operatorul sau persoana vizată poate formula contestaţie în termen de 15 zile de la comunicare, sub sancţiunea decăderii, la instanţa de contencios administrativ competentă. Cererea se judecă de urgenţă, cu citarea părţilor. Soluţia este definitivă şi irevocabilă.

(2) Fac excepţie de la prevederile alin. (1), precum şi de la cele ale art. 23 şi 25 prelucrările de date cu caracter personal, efectuate în cadrul activităţilor prevăzute la art. 2 alin. (5).

Exercitarea atribuţiilor de investigare

Art. 27. - (1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plângeri, orice încălcare a drepturilor persoanelor vizate, respectiv a obligaţiilor care revin operatorilor şi, după caz, persoanelor împuternicite, în cadrul efectuării prelucrărilor de date cu caracter personal, în scopul apărării drepturilor şi libertăţilor fundamentale ale persoanelor vizate.

(2) Atribuţiile de investigare nu pot fi exercitate de către autoritatea de supraveghere în cazul în care o cerere în justiţie introdusă anterior are ca obiect săvârşirea aceleiaşi încălcări a drepturilor şi opune aceleaşi părţi.

(3) În exercitarea atribuţiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informaţii legate de prelucrarea datelor cu caracter personal şi poate verifica orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal.

(4) Secretul de stat şi secretul profesional nu pot fi invocate pentru a împiedica exercitarea atribuţiilor acordate prin prezenta lege autorităţii de supraveghere. Atunci când este invocată protecţia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligaţia de a păstra secretul.

(5) Abrogat prin punctul 4. din Lege nr. 102/2005 începând cu 12.05.2005.

Norme de conduită

Art. 28. - (1) Asociaţiile profesionale au obligaţia de a elabora şi de a supune spre avizare autorităţii de supraveghere coduri de conduită care să conţină norme adecvate pentru protecţia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către membrii acestora.

(2) Normele de conduită trebuie să prevadă măsuri şi proceduri care să asigure un nivel satisfăcător de protecţie, ţinând seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune măsuri şi proceduri specifice pentru perioada în care normele de conduită la care s-a făcut referire anterior nu sunt adoptate.

Punere în aplicare prin Ordin 75/2002 :

ANEXA Nr. 1

MĂSURI ŞI PROCEDURI
specifice pentru asigurarea unui nivel satisfăcător de protecţie
a drepturilor persoanelor ale căror date cu caracter
personal fac obiectul prelucrărilor

Scopul şi sfera de aplicare

Art. 1. - (1) Prezentele măsuri şi proceduri au ca scop asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal, prelucrate de către membrii asociaţiilor profesionale, prin stabilirea modalităţilor de exercitare a drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor, în privinţa datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale.

(2) Aceste măsuri şi proceduri se aplică, în perioada în care nu sunt adoptate codurile de conduită, de către asociaţiile profesionale, oricăror operaţiuni prin care membrii asociaţiilor profesionale prelucrează datele cu caracter personal.

(3) Prezentele măsuri şi proceduri nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale.

(4) Prezentele măsuri şi proceduri sunt aplicabile tuturor asociaţiilor profesionale din România.

Definirea termenilor

Art. 2. - (1) Termenii folosiţi la stabilirea prezentelor măsuri şi proceduri au următorul sens:

a) asociaţii profesionale - forme organizatorice ale entităţilor de drept privat constituite pe criterii profesionale;

b) persoană vizată - persoana fizică ale cărei date cu caracter personal sunt prelucrate;

c) a colecta - a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursă;

d) a dezvălui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara operatorului;

e) a utiliza - a se folosi datele cu caracter personal de către şi în interiorul operatorului;

f) consimţământ - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc;

g) nivel de protecţie şi de securitate adecvat al prelucrărilor de date cu caracter personal - nivelul de securitate proporţional riscului, pe care îl comportă prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrărilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementării acestor măsuri;

h) marketing direct - promovarea produselor şi a serviciilor, adresată direct clienţilor, persoane fizice, prin mijloace de genul poştei, inclusiv cea electronică, sau alte mijloace de marketing la distanţă, altele decât modalităţile promoţionale obişnuite (reclame).

(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, precum şi de Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.

Legalitatea şi transparenţa

Art. 3. - (1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respectă dreptul la viaţă intimă, familială şi privată.

(2) Prelucrarea datelor cu caracter personal de către membri se desfăşoară în conformitate cu prevederile legale în vigoare.

(3) Membrii sunt obligaţi să asigure transparenţa prelucrărilor de date cu caracter personal.

Responsabilitatea

Art. 4. - (1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi.

(2) Fiecare membru va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal.

Legitimitatea scopului colectării

Art. 5. - (1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.

(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării.

(3) Menţionarea scopurilor poate fi realizată în scris, oral sau în formă electronică, într-un limbaj uşor accesibil pentru persoanele vizate.

Consimţământul

Art. 6. - (1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afara cazurilor în care legea dispune altfel.

(2) Membrii vor folosi orice mijloace nedolosive, care necesită costuri financiare rezonabile, pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal.

(3) Persoana vizată îşi poate retrage consimţământul în orice moment, sub condiţia avizării prealabile a operatorului. Acesta va informa persoana vizată în legătură cu procedura şi efectele retragerii consimţământului.

Legitimitatea dezvăluirii

Art. 7. - (1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizată îşi dă consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.

(2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.

Legitimitatea stocării

Art. 8. - (1) Membrii sunt obligaţi să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.

(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.

(3) Datele cu caracter personal vor fi păstrate numai pentru perioada necesară atingerii scopurilor stabilite.

(4) Membrii vor adopta reguli speciale în privinţa stabilirii perioadei minime şi maxime necesare pentru păstrarea datelor colectate, urmărind totodată respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.

(5) În urma verificărilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de către membri.

Securitatea prelucrărilor

Art. 9. - Membrii sunt obligaţi să ia măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afara locurilor în care sunt gestionate; în general, pentru a împiedica orice circulaţie necontrolată a datelor.

Dreptul de informare

Art. 10. - (1) Strategiile şi procedurile folosite de membri în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub formă de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice.

(2) Membrii vor comunica informaţii, la cerere, în legătură cu datele cu caracter personal pe care le prelucrează, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice.

(3) În cazul în care dezvăluirea datelor este impusă de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), membrii se vor asigura că terţul care solicită dezvăluirea acţionează în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrării. Persoana vizată va fi informată în legătură cu dezvăluirea, numai dacă legea permite.

(4) Aducerea la cunoştinţă persoanelor vizate a drepturilor de care beneficiază (în special, drepturile prevăzute la art. 12-15 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu: factură, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.

Dreptul de acces

Art. 11. - (1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.

(2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege, în următoarele situaţii: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s-ar aduce atingere soluţionării unui litigiu sau a unui proces penal.

(3) Membrii sunt obligaţi să motiveze refuzul de a permite accesul la anumite date cu caracter personal.

Dreptul de intervenţie

Art. 12. - (1) Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.

(2) Membrii vor păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinţa cărora există contestaţii nerezolvate.

(3) Dispoziţiile alin. (2) se aplică şi în cazul dezvăluirii de date către terţi, dacă este cazul.

(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.

Dreptul de opoziţie

Art. 13. - (1) Exercitarea de către persoana vizată a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurată prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizată va fi încunoştinţată de existenţa listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.

(2) Persoanele vizate îşi pot exercita dreptul de opoziţie în orice moment, de preferinţă într-un termen rezonabil acordat de operator, fără a se aduce atingere posibilităţii ca dreptul să fie exercitat şi în afara acestui termen.

(3) Listele de opoziţie sunt gestionate de asociaţiile profesionale.

(4) În cazul prelucrărilor ulterioare, precum şi al transferului către alţi operatori al datelor cu caracter personal, membrii se vor asigura că acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi şterse datele sau dreptul de opoziţie la transferul acestora.

Legitimitatea transferului

Art. 14. - (1) În cazul transferului de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii.

(2) Menţiunile prevăzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept.

(3) Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori vor fi prevăzute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor menţiona, printre altele, drepturile recunoscute persoanelor vizate, precum şi faptul că aceste drepturi pot fi exercitate doar cu respectarea confidenţialităţii anumitor clauze comerciale.

Soluţionarea plângerilor

Art. 15. - (1) Membrii sunt obligaţi să rezolve plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege.

(2) Procedura de primire, investigare şi de soluţionare a plângerilor şi a celorlalte cereri ale persoanelor vizate va fi stabilită de către membri şi va fi adusă la cunoştinţă persoanelor vizate.

Colaborarea cu autoritatea de supraveghere

Art. 16. - (1) Anual sau ori de câte ori se va solicita membrii vor prezenta autorităţii de supraveghere a prelucrărilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.

(2) Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de îmbunătăţire a activităţii acestora.

Cheltuielile suportate de către persoanele vizate

Art. 17. - Membrii vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codurile de conduită, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.

ANEXA Nr. 2

MODEL DE COD DE CONDUITĂ

Preambul

Luând în considerare importanţa deosebită a garantării dreptului la viaţă intimă, familială şi privată, aşa cum este prevăzut la art. 26 din Constituţia României,

ţinând seama de necesitatea protejării acestui drept fundamental în cadrul activităţilor de prelucrare a datelor cu caracter personal, reglementate prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, prin Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, precum şi prin Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981,

având în vedere dispoziţiile art. 28 alin. (1) din Legea nr. 677/2001, potrivit cărora asociaţiile profesionale au obligaţia de a elabora şi de a supune spre avizare autorităţii de supraveghere coduri de conduită care să conţină norme adecvate pentru protecţia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către membrii acestora,

ţinând seama că asociaţiile profesionale, prin activitatea desfăşurată de membrii lor, prelucrează date cu caracter personal, pentru protecţia cărora este necesară adoptarea unor coduri de conduită,

propunem asociaţiilor profesionale următorul model de cod de conduită:

CAPITOLUL I Dispoziţii generale

Scopul şi sfera de aplicare

Art. 1. - (1) Prezentul model de cod de conduită are ca scop stabilirea unor norme de conduită pentru asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal prelucrate de către membrii asociaţiilor profesionale.

(2) Normele de conduită stabilesc exercitarea drepturilor şi obligaţiilor care revin membrilor asociaţiilor profesionale în domeniul protecţiei persoanelor în privinţa datelor cu caracter personal, în relaţiile asociaţiilor profesionale cu persoanele vizate (în calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociaţii profesionale, precum şi cu alte persoane fizice sau juridice care nu fac parte din asociaţiile profesionale.

(3) Prezentul model de cod de conduită se aplică indiferent de operaţiunea prin care membrii asociaţiilor profesionale prelucrează datele cu caracter personal.

(4) Normele cuprinse în prezentul model de cod de conduită nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale.

(5) Prezentul model de cod de conduită conţine norme de conduită aplicabile tuturor asociaţiilor profesionale din România.

Definirea termenilor

Art. 2. - (1) Termenii folosiţi în prezentul model de cod de conduită au următorul sens:

a) asociaţii profesionale - forme organizatorice ale entităţilor de drept privat constituite pe criterii profesionale;

b) persoană vizată - persoana fizică ale cărei date cu caracter personal sunt prelucrate;

c) a colecta - a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursă;

d) a dezvălui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara operatorului;

e) a utiliza - a se folosi datele cu caracter personal de către şi în interiorul operatorului;

f) consimţământ - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc;

Adoptarea codurilor de conduită

Art. 3. - (1) Asociaţiile profesionale vor elabora propriile coduri de conduită, cu respectarea principiilor din prezentul model de cod de conduită. Codurile de conduită vor conţine norme adecvate care să reglementeze măsuri specifice domeniului de activitate al asociaţiei respective, pentru aplicarea eficientă a principiilor din prezentul model de cod de conduită.

(2) Codurile de conduită care vor fi adoptate de asociaţiile profesionale vor putea fi revizuite periodic, în funcţie de modificările şi completările legislative aplicabile, precum şi de nivelul de dezvoltare tehnologică în domeniul de activitate al fiecărei asociaţii.

(3) Asociaţiile profesionale vor supune codurile de conduită spre avizare autorităţii de supraveghere.

Cadrul legal al codurilor de conduită

Art. 4. - În vederea elaborării codurilor de conduită de către asociaţiile profesionale pe baza prezentului model de cod de conduită, vor fi respectate dispoziţiile legale referitoare la protecţia dreptului la viaţă intimă, familială şi privată, în ceea ce priveşte prelucrarea datelor cu caracter personal. Se vor avea în vedere în mod special dispoziţiile Legii nr. 676/2001, ale Legii nr. 677/2001, precum şi ale Legii nr. 682/2001.

CAPITOLUL II Principiile prelucrărilor de date cu caracter personal
efectuate de către membrii asociaţiilor profesionale

Legalitatea şi transparenţa

Art. 5. - (1) Membrii asociaţiilor profesionale, denumiţi în continuare membri, recunosc şi respectă dreptul la viaţă intimă, familială şi privată.

(2) Prelucrarea datelor cu caracter personal de către membri se desfăşoară în conformitate cu prevederile legale în vigoare.

(3) Membrii sunt obligaţi să asigure transparenţa prelucrărilor de date cu caracter personal.

Responsabilitatea

Art. 6. - (1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi.

(2) Fiecare membru va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal, precum şi a principiilor prevăzute în prezentul model de cod de conduită.

Legitimitatea scopului colectării

Art. 7. - (1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.

(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării.

(3) Menţionarea scopurilor poate fi realizată în scris, oral sau în formă electronică, într-un limbaj uşor accesibil pentru persoanele vizate.

Consimţământul

Art. 8. - (1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afara cazurilor în care legea dispune altfel.

Legitimitatea dezvăluirii

Art. 9. - (1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizată îşi dă consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.

(2) Accesul la datele prelucrate va fi permis numai angajaţilor membrilor, în îndeplinirea obligaţiilor de serviciu.

Legitimitatea stocării

Art. 10. - (1) Membrii sunt obligaţi să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.

(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.

(3) Datele cu caracter personal vor fi păstrate numai pentru perioada necesară atingerii scopurilor stabilite.

Securitatea prelucrărilor

Art. 11. - Membrii sunt obligaţi să ia măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor în afara locurilor în care sunt gestionate; în general, pentru a împiedica orice circulaţie necontrolată a datelor.

Dreptul de informare

Art. 12. - (1) Strategiile şi procedurile folosite de membri în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub formă de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri), telefonice sau electronice.

(2) Membrii vor comunica informaţii, la cerere, în legătură cu datele cu caracter personal, pe care le prelucrează, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice.

(4) Aducerea la cunoştinţă persoanelor vizate a drepturilor de care beneficiază (în special, drepturile prevăzute la art. 12-15 din Legea nr. 677/2001) se poate face prin intermediul unor menţiuni înscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu, factură, borderou de livrare, confirmare de primire etc.), pe prospectele care conţin şi chestionare etc.

Dreptul de acces

Art. 13. - (1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.

(3) Membrii sunt obligaţi să motiveze refuzul de a permite accesul la anumite date cu caracter personal.

Dreptul de intervenţie

Art. 14. - (1) Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.

(3) Dispoziţiile alin. (2) se aplică şi în cazul dezvăluirii de date către terţi, dacă este cazul.

(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.

Dreptul de opoziţie

Art. 15. - (1) Exercitarea de către persoana vizată a dreptului de opoziţie împotriva prelucrării datelor cu caracter personal, în efectuarea operaţiunilor de marketing direct, este asigurată prin intermediul formulării unor cereri în acest sens sau prin includerea în listele de opoziţie a persoanelor vizate. Persoana vizată va fi încunoştinţată de existenţa listelor de opoziţie, precum şi de modalitatea de a solicita includerea în acestea.

(3) Listele de opoziţie sunt gestionate de asociaţiile profesionale.

Legitimitatea transferului

Art. 16. - (1) În cazul transferului de date cu caracter personal către alţi operatori, în special în operaţiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin înscrierea unor menţiuni pe ofertele de produse sau servicii.

(2) Menţiunile prevăzute la alin. (1) vor cuprinde şi specificarea dreptului de opoziţie la transferul datelor, precum şi metoda prin care persoanele vizate îşi pot exercita acest drept.

Soluţionarea plângerilor

Art. 17. - (1) Membrii sunt obligaţi să rezolve plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege.

Colaborarea cu autoritatea de supraveghere

Art. 18. - (1) Anual sau ori de câte ori se va solicita membrii vor prezenta autorităţii de supraveghere a prelucrărilor de date cu caracter personal rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.

Cheltuielile suportate de către persoanele vizate

Art. 19. - Membrii vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codurile de conduită, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.

CAPITOLUL III Dispoziţii finale şi tranzitorii

Modul de aplicare

Art. 20. - (1) Dispoziţiile prezentului model de cod de conduită vor fi avute în vedere la adoptarea propriilor coduri de conduită de către asociaţiile profesionale care prelucrează date cu caracter personal.

(2) Normele prezentului model de cod de conduită au caracter de recomandare.

(3) Prezentul model de cod de conduită se completează cu prevederile legale în domeniul protecţiei datelor cu caracter personal.

Modificarea şi completarea modelului de cod de conduită

Art. 21. - (1) Membrii asociaţiilor profesionale sau persoanele interesate pot propune modificări sau completări ale prezentului model de cod de conduită.

(2) Propunerile la care se referă alin. (1) vor fi trimise, în scris şi motivat, autorităţii de supraveghere.

(3) Autoritatea de supraveghere va lua în considerare numai propunerile pertinente şi concludente, în vederea modificării şi completării prezentului model de cod de conduită.

CAPITOLUL VII
Transferul în străinătate al datelor cu caracter personal

Condiţiile transferului în străinătate al datelor cu caracter personal

Art. 29. - (1) Transferul către un alt stat de date cu caracter personal care fac obiectul unei prelucrări sau sunt destinate să fie prelucrate după transfer poate avea loc numai în condiţiile în care nu se încalcă legea română, iar statul către care se intenţionează transferul asigură un nivel de protecţie adecvat.

(2) Nivelul de protecţie va fi apreciat de către autoritatea de supraveghere, ţinând seama de totalitatea împrejurărilor în care se realizează transferul de date, în special având în vedere natura datelor transmise, scopul prelucrării şi durata propusă pentru prelucrare, statul de origine şi statul de destinaţie finală, precum şi legislaţia statului solicitant. În cazul în care autoritatea de supraveghere constată că nivelul de protecţie oferit de statul de destinaţie este nesatisfăcător, poate dispune interzicerea transferului de date.

(3) În toate situaţiile transferul de date cu caracter personal către un alt stat va face obiectul unei notificări prealabile a autorităţii de supraveghere.

(4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal către un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română atunci când operatorul oferă garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor. Aceste garanţii trebuie să fie stabilite prin contracte încheiate între operatori şi persoanele fizice sau juridice din dispoziţia cărora se efectuează transferul.

___________

Pus în aplicare prin Decizie nr. 167/2006 începând cu 03.02.2007.

Pus în aplicare prin Ordin nr. 6/2003 începând cu 10.03.2003.

Punere în aplicare prin Decizie 10/2009 :

ANEXĂ

AUTORIZAŢIA
Nr. .... din ......................
pentru transferul în străinătate al datelor cu caracter personal în baza art. 29 alin. (4) din Legea nr. 677/2001 pentru protecţia persoanelor
cu privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date, cu modificările şi completările ulterioare

În temeiul art. 21 alin. (3) lit. c), raportat la art. 29 alin. (4) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare,

Având în vedere:

- natura datelor cu caracter personal transmise:

..............................................................................................................................;

- scopul prelucrării:

..............................................................................................................................;

- statul de destinaţie:

..............................................................................................................................;

- garanţiile pentru protecţia drepturilor fundamentale ale persoanelor, stabilite prin contractul încheiat între ........................¹ şi .........................²,

preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal

AUTORIZEAZĂ

Transferul de date cu caracter personal în ................................³, efectuat de ............................................................¹, către ........................................................................², transfer notificat cu nr. ....................................................⁴.

Prezenta autorizaţie nu exonerează operatorul de îndeplinirea celorlalte obligaţii care îi revin potrivit Legii nr. 677/2001, cu modificările şi completările ulterioare, inclusiv de obligaţia de a se supune controlului efectuat de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

În condiţiile legii, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate dispune orice măsuri, în cazul în care constată încălcarea obligaţiilor asumate de către operator.


	Preşedintele Autorităţii Naţionale de Supraveghere
	a Prelucrării Datelor cu Caracter Personal,
	Georgeta Basarabescu

¹ Se va menţiona numele/denumirea exportatorului de date.

² Se va menţiona numele/denumirea importatorului de date.

³ Se va menţiona numele statului sau al statelor către care se transferă datele cu caracter personal.

⁴ Se va menţiona numărul de înregistrare a notificării din Registrul de evidenţă a prelucrărilor de date cu caracter personal.

(5) Prevederile alin. (2), (3) şi (4) nu se aplică dacă transferul datelor se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România, în special dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracţiuni.

(6) Prevederile prezentului articol nu se aplică atunci când prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacă datele au fost făcute publice în mod manifest de către persoana vizată sau sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată.

___________

Pus în aplicare prin Decizie nr. 28/2007 începând cu 16.03.2007.

Situaţii în care transferul este întotdeauna permis

Art. 30. - Transferul de date este întotdeauna permis în următoarele situaţii:

a) când persoana vizată şi-a dat în mod explicit consimţământul pentru efectuarea transferului; în cazul în care transferul de date se face în legătură cu oricare dintre datele prevăzute la art. 7, 8 şi 10, consimţământul trebuie dat în scris;

b) când este necesar pentru executarea unui contract încheiat între persoana vizată şi operator sau pentru executarea unor măsuri precontractuale dispuse la cererea pesoanei vizate;

c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator şi un terţ;

d) când este necesar pentru satisfacerea unui interes public major, precum apărarea naţională, ordinea publică sau siguranţa naţională, pentru buna desfăşurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiţie, cu condiţia ca datele să fie prelucrate în legătură cu acest scop şi nu mai mult timp decât este necesar;

e) când este necesar pentru a proteja viaţa, integritatea fizică sau sănătatea persoanei vizate;

f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informaţii care pot fi obţinute din registre sau prin orice alte documente accesibile publicului.

___________

Pus în aplicare prin Decizie nr. 28/2007 începând cu 16.03.2007.

CAPITOLUL VIII
Contravenţii şi sancţiuni

Omisiunea de a notifica şi notificarea cu rea-credinţă

Art. 31. - Omisiunea de a efectua notificarea în condiţiile art. 22 sau ale art. 29 alin. (3) în situaţiile în care această notificare este obligatorie, precum şi notificarea incompletă sau care conţine informaţii false constituie contravenţii, dacă nu sunt săvârşite în astfel de condiţii încât să constituie infracţiuni, şi se sancţionează cu amendă de la 5.000.000 lei la 100.000.000 lei.

Prelucrarea nelegală a datelor cu caracter personal

Art. 32. - Prelucrarea datelor cu caracter personal de către un operator sau de o persoană împuternicită de acesta, cu încălcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevăzute la art. 12-15 sau la art. 17, constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie infracţiune, şi se sancţionează cu amendă de la 10.000.000 lei la 250.000.000 lei.

Neîndeplinirea obligaţiilor privind confidenţialitatea şi aplicarea măsurilor de securitate

Art. 33. - Neîndeplinirea obligaţiilor privind aplicarea măsurilor de securitate şi de păstrare a confidenţialităţii prelucrărilor, prevăzute la art. 19 şi 20, constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie infracţiune, şi se sancţionează cu amendă de la 15.000.000 lei la 500.000.000 lei.

Refuzul de a furniza informaţii

Art. 34. - Refuzul de a furniza autorităţii de supraveghere informaţiile sau documentele cerute de aceasta în exercitarea atribuţiilor de investigare prevăzute la art. 27 constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie infracţiune, şi se sancţionează cu amendă de la 10.000.000 lei la 150.000.000 lei.

Constatarea contravenţiilor şi aplicarea sancţiunilor

Art. 35. - (1) Constatarea contravenţiilor şi aplicarea sancţiunilor se efectuează de către autoritatea de supraveghere, care poate delega aceste atribuţii unor persoane recrutate din rândul personalului său, precum şi de reprezentanţi împuterniciţi ai organelor cu atribuţii de supraveghere şi control, abilitate potrivit legii.

(2) Dispoziţiile prezentei legi referitoare la contravenţii se completează cu prevederile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, în măsura în care prezenta lege nu dispune altfel.

(3) Împotriva proceselor-verbale de constatare şi sancţionare se poate face plângere la secţiile de contencios administrativ ale tribunalelor.

CAPITOLUL IX
Dispoziţii finale

Intrarea în vigoare

Art. 36. - Prezenta lege intră în vigoare la data publicării ei în Monitorul Oficial al României, Partea I, şi se pune în aplicare în termen de 3 luni de la intrarea sa în vigoare.

Această lege a fost adoptată de Senat în şedinţa din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constituţia României.


	PREŞEDINTELE SENATULUI
	NICOLAE VĂCĂROIU

Această lege a fost adoptată de Camera Deputaţilor în şedinţa din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constituţia României.


	PREŞEDINTELE CAMEREI DEPUTAŢILOR
	VALER DORNEANU

Bucureşti, 21 noiembrie 2001.

Nr. 677.

Mihai Mereuță

miercuri, 6 mai 2015

Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date-actualizat la data de 02.04.2012

Comunicat: DDD la asociațiile de proprietari!

Dreptul la o locuinţă decentă / locuire decenta accesibilă ca preţ ar trebui sa se regaseasca in Constituie?