Parlamentul Romaniei

 
Lege nr. 677/2001

din 21/11/2001
Versiune actualizata la data de 02/04/2012

pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date


 

    ___________
@Text actualizat la data de 02.04.2012. Actul include modificarile din urmatoarele acte:
- Legea nr. 102/2005
publicata in Monitorul Oficial, Partea I nr. 391 din 09/05/2005.
- O.U.G. nr. 36/2007 publicata in Monitorul Oficial, Partea I nr. 335 din 17/05/2007.

    ___________
@Pus in aplicare prin:
- Ordinul nr. 52/2002
publicat in Monitorul Oficial, Partea I nr. 383 din 05/06/2002.
- Ordinul nr. 75/2002 publicat in Monitorul Oficial, Partea I nr. 449 din 26/06/2002.
- Ordinul nr. 6/2003 publicat in Monitorul Oficial, Partea I nr. 151 din 10/03/2003.
- Decizia nr. 167/2006 publicata in Monitorul Oficial, Partea I nr. 6 din 04/01/2007.
- Decizia nr. 90/2006 publicata in Monitorul Oficial, Partea I nr. 654 din 28/07/2006.
- Decizia nr. 91/2006 publicata in Monitorul Oficial, Partea I nr. 654 din 28/07/2006.
- Decizia nr. 28/2007 publicata in Monitorul Oficial, Partea I nr. 182 din 16/03/2007.
- Decizia nr. 105/2007 publicata in Monitorul Oficial, Partea I nr. 891 din 27/12/2007.
- Decizia nr. 95/2008 publicata in Monitorul Oficial, Partea I nr. 876 din 24/12/2008.
- Decizia nr. 10/2009 publicata in Monitorul Oficial, Partea I nr. 149 din 10/03/2009.
- Decizia nr. 11/2009 publicata in Monitorul Oficial, Partea I nr. 155 din 12/03/2009.
- Ordinul nr. 2151/2011 publicat in Monitorul Oficial, Partea I nr. 390 din 03/06/2011.

    Parlamentul Romaniei adopta prezenta lege.

   
CAPITOLUL I

  Dispozitii generale

   
Scop

   Art. 1. - (1) Prezenta lege are ca scop garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter personal.
   (2) Exercitarea drepturilor prevazute in prezenta lege nu poate fi restransa decat in cazuri expres si limitativ prevazute de lege.

   
Domeniu de aplicare

   Art. 2. - (1) Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate, in tot sau in parte, prin mijloace automate, precum si prelucrarii prin alte mijloace decat cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse intr-un asemenea sistem.
   (2) Prezenta lege se aplica:
   a) prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori stabiliti in Romania;
   b) prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de misiunile diplomatice sau de oficiile consulare ale Romaniei;
   c) prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori care nu sunt stabiliti in Romania, prin utilizarea de mijloace de orice natura situate pe teritoriul Romaniei, cu exceptia cazului in care aceste mijloace nu sunt utilizate decat in scopul tranzitarii pe teritoriul Romaniei a datelor cu caracter personal care fac obiectul prelucrarilor respective.
   (3) In cazul prevazut la alin. (2) lit. c) operatorul isi va desemna un reprezentant care trebuie sa fie o persoana stabilita in Romania. Prevederile prezentei legi aplicabile operatorului sunt aplicabile si reprezentantului acestuia, fara a aduce atingere posibilitatii de a introduce actiune in justitie direct impotriva operatorului.
   (4) Prezenta lege se aplica prelucrarilor de date cu caracter personal efectuate de persoane fizice sau juridice, romane ori straine, de drept public sau de drept privat, indiferent daca au loc in sectorul public sau in sectorul privat.
   (5) In limitele prevazute de prezenta lege, aceasta se aplica si prelucrarilor si transferului de date cu caracter personal, efectuate in cadrul activitatilor de prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii publice, precum si al altor activitati desfasurate in domeniul dreptului penal, in limitele si cu restrictiile stabilite de lege.
   (6) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, daca datele in cauza nu sunt destinate a fi dezvaluite.
   (7) Prezenta lege nu se aplica prelucrarilor si transferului de date cu caracter personal, efectuate in cadrul activitatilor in domeniul apararii nationale si sigurantei nationale, desfasurate in limitele si cu restrictiile stabilite de lege.
   (8) Prevederile prezentei legi nu aduc atingere obligatiilor asumate de Romania prin instrumente juridice ratificate.

   
Definitii

   Art. 3. - In intelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:
   a) date cu caracter personal - orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
   b) prelucrarea datelor cu caracter personal - orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;
   c) stocarea - pastrarea pe orice fel de suport a datelor cu caracter personal culese;
   d) sistem de evidenta a datelor cu caracter personal - orice structura organizata de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent daca aceasta structura este organizata in mod centralizat ori descentralizat sau este repartizata dupa criterii functionale ori geografice;
   e) operator - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau in baza acelui act normativ;
   f) persoana imputernicita de catre operator - o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;
   g) tert - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, alta decat persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei imputernicite, sunt autorizate sa prelucreze date;
   h) destinatar - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, careia ii sunt dezvaluite date, indiferent daca este sau nu tert; autoritatile publice carora li se comunica date in cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;
   i) date anonime - date care, datorita originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.

   
CAPITOLUL II

  Reguli generale privind prelucrarea datelor cu caracter personal

   
Caracteristicile datelor cu caracter personal in cadrul prelucrarii

   Art. 4. - (1) Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:
   a) prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in vigoare;
   b) colectate in scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal in scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute de normele care reglementeaza activitatea statistica ori cercetarea istorica sau stiintifica;
   c) adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
   d) exacte si, daca este cazul, actualizate; in acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate;
   e) stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute in normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri.
   (2) Operatorii au obligatia sa respecte prevederile alin. (1) si sa asigure indeplinirea acestor prevederi de catre persoanele imputernicite.

   
Conditii de legitimitate privind prelucrarea datelor

   Art. 5. - (1) Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru acea prelucrare.
   (2) Consimtamantul persoanei vizate nu este cerut in urmatoarele cazuri:
   a) cand prelucrarea este necesara in vederea executarii unui contract sau antecontract la care persoana vizata este parte ori in vederea luarii unor masuri, la cererea acesteia, inaintea incheierii unui contract sau antecontract;
   b) cand prelucrarea este necesara in vederea protejarii vietii, integritatii fizice sau sanatatii persoanei vizate ori a unei alte persoane amenintate;
   c) cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a operatorului;
   d) cand prelucrarea este necesara in vederea aducerii la indeplinire a unor masuri de interes public sau care vizeaza exercitarea prerogativelor de autoritate publica cu care este investit operatorul sau tertul caruia ii sunt dezvaluite datele;
   e) cand prelucrarea este necesara in vederea realizarii unui interes legitim al operatorului sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca acest interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale persoanei vizate;
   f) cand prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
   g) cand prelucrarea este facuta exclusiv in scopuri statistice, de cercetare istorica sau stiintifica, iar datele raman anonime pe toata durata prelucrarii.
   (3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.

   
Incheierea operatiunilor de prelucrare

   Art. 6. - (1) La incheierea operatiunilor de prelucrare, daca persoana vizata nu si-a dat in mod expres si neechivoc consimtamantul pentru o alta destinatie sau pentru o prelucrare ulterioara, datele cu caracter personal vor fi:
   a) distruse;
   b) transferate unui alt operator, cu conditia ca operatorul initial sa garanteze faptul ca prelucrarile ulterioare au scopuri similare celor in care s-a facut prelucrarea initiala;
   c) transformate in date anonime si stocate exclusiv in scopuri statistice, de cercetare istorica sau stiintifica.
   (2) In cazul operatiunilor de prelucrare efectuate in conditiile prevazute la art. 5 alin. (2) lit. c) sau d), in cadrul activitatilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesara realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.

   
CAPITOLUL III

  Reguli speciale privind prelucrarea datelor cu caracter personal

   
Prelucrarea unor categorii speciale de date

   Art. 7. - (1) Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa.
   (2) Prevederile alin. (1) nu se aplica in urmatoarele cazuri:
   a) cand persoana vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
   b) cand prelucrarea este necesara in scopul respectarii obligatiilor sau drepturilor specifice ale operatorului in domeniul dreptului muncii, cu respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a operatorului in acest sens sau daca persoana vizata a consimtit expres la aceasta dezvaluire;
   c) cand prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a sanatatii persoanei vizate ori a altei persoane, in cazul in care persoana vizata se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
   d) cand prelucrarea este efectuata in cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana vizata sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod regulat, relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
   e) cand prelucrarea se refera la date facute publice in mod manifest de catre persoana vizata;
   f) cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie;
   g) cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza in interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente in ceea ce priveste secretul;
   h) cand legea prevede in mod expres aceasta in scopul protejarii unui interes public important, cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta lege.
   (3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.
   (4) Autoritatea de supraveghere poate dispune, din motive intemeiate, interzicerea efectuarii unei prelucrari de date din categoriile prevazute la alin. (1), chiar daca persoana vizata si-a dat in scris si in mod neechivoc consimtamantul, iar acest consimtamant nu a fost retras, cu conditia ca interdictia prevazuta la alin. (1) sa nu fie inlaturata prin unul dintre cazurile la care se refera alin. (2) lit. b)-g).

   
Prelucrarea datelor cu caracter personal avand functie de identificare

   Art. 8. - (1) Prelucrarea codului numeric personal sau a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala poate fi efectuata numai daca:
   a) persoana vizata si-a dat in mod expres consimtamantul; sau
   b) prelucrarea este prevazuta in mod expres de o dispozitie legala.
   (2) Autoritatea de supraveghere poate stabili si alte cazuri in care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.

    ___________
    Pus in aplicare prin Decizie nr. 105/2007 incepand cu 25.02.2008.

   
Prelucrarea datelor cu caracter personal privind starea de sanatate

   Art. 9. - (1) In afara cazurilor prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplica in privinta prelucrarii datelor privind starea de sanatate in urmatoarele cazuri:
   a) daca prelucrarea este necesara pentru protectia sanatatii publice;
   b) daca prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii unei fapte penale sau pentru impiedicarea producerii rezultatului unei asemenea fapte ori pentru inlaturarea urmarilor prejudiciabile ale unei asemenea fapte.
   (2) Prelucrarea datelor privind starea de sanatate poate fi efectuata numai de catre ori sub supravegherea unui cadru medical, cu conditia respectarii secretului profesional, cu exceptia situatiei in care persoana vizata si-a dat in scris si in mod neechivoc consimtamantul atata timp cat acest consimtamant nu a fost retras, precum si cu exceptia situatiei in care prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii unei fapte penale, pentru impiedicarea producerii rezultatului unei asemenea fapte sau pentru inlaturarea urmarilor sale prejudiciabile.
   (3) Cadrele medicale, institutiile de sanatate si personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sanatate, fara autorizatia autoritatii de supraveghere, numai daca prelucrarea este necesara pentru protejarea vietii, integritatii fizice sau sanatatii persoanei vizate. Cand scopurile mentionate se refera la alte persoane sau la public in general si persoana vizata nu si-a dat consimtamantul in scris si in mod neechivoc, trebuie ceruta si obtinuta in prealabil autorizatia autoritatii de supraveghere. Prelucrarea datelor cu caracter personal in afara limitelor prevazute in autorizatie este interzisa.
   (4) Cu exceptia motivelor de urgenta, autorizatia prevazuta la alin. (3) poate fi acordata numai dupa ce a fost consultat Colegiul Medicilor din Romania.
   (5) Datele cu caracter personal privind starea de sanatate pot fi colectate numai de la persoana vizata. Prin exceptie, aceste date pot fi colectate din alte surse numai in masura in care este necesar pentru a nu compromite scopurile prelucrarii, iar persoana vizata nu vrea ori nu le poate furniza.

   
Prelucrarea datelor cu caracter personal referitoare la fapte
penale sau contraventii

   Art. 10. - (1) Prelucrarea datelor cu caracter personal referitoare la savarsirea de infractiuni de catre persoana vizata ori la condamnari penale, masuri de siguranta sau sanctiuni administrative ori contraventionale, aplicate persoanei vizate, poate fi efectuata numai de catre sau sub controlul autoritatilor publice, in limitele puterilor ce le sunt conferite prin lege si in conditiile stabilite de legile speciale care reglementeaza aceste materii.
   (2) Autoritatea de supraveghere poate stabili si alte cazuri in care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
   (3) Un registru complet al condamnarilor penale poate fi tinut numai sub controlul unei autoritati publice, in limitele puterilor ce ii sunt conferite prin lege.

    ___________
    Pus in aplicare prin Decizie nr. 105/2007 incepand cu 25.02.2008.

   
Exceptii

   Art. 11. - Prevederile art. 5, 6, 7 si 10 nu se aplica in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice, daca prelucrarea priveste date cu caracter personal care au fost facute publice in mod manifest de catre persoana vizata sau care sunt strans legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor in care este implicata.

   
CAPITOLUL IV

  Drepturile persoanei vizate in contextul prelucrarii datelor cu caracter personal

   
Informarea persoanei vizate

   Art. 12. - (1) In cazul in care datele cu caracter personal sunt obtinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului in care aceasta persoana poseda deja informatiile respective:
   a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
   b) scopul in care se face prelucrarea datelor;
   c) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
   d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
   (2) In cazul in care datele nu sunt obtinute direct de la persoana vizata, operatorul este obligat ca, in momentul colectarii datelor sau, daca se intentioneaza dezvaluirea acestora catre terti, cel mai tarziu pana in momentul primei dezvaluiri, sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului in care persoana vizata poseda deja informatiile respective:
   a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
   b) scopul in care se face prelucrarea datelor;
   c) informatii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevazute de prezenta lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
   d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
   (3) Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.
   (4) Prevederile alin. (2) nu se aplica in cazul in care prelucrarea datelor se face in scopuri statistice, de cercetare istorica sau stiintifica, ori in orice alte situatii in care furnizarea unor asemenea informatii se dovedeste imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum si in situatiile in care inregistrarea sau dezvaluirea datelor este expres prevazuta de lege.

   
Dreptul de acces la date

   Art. 13. - (1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, in situatia in care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, impreuna cu confirmarea, cel putin urmatoarele:
   a) informatii referitoare la scopurile prelucrarii, categoriile de date avute in vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele;
   b) comunicarea intr-o forma inteligibila a datelor care fac obiectul prelucrarii, precum si a oricarei informatii disponibile cu privire la originea datelor;
   c) informatii asupra principiilor de functionare a mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva;
   d) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de opozitie, precum si conditiile in care pot fi exercitate;
   e) informatii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevazut la art. 24, de a inainta plangere catre autoritatea de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor operatorului, in conformitate cu dispozitiile prezentei legi.
   (2) Persoana vizata poate solicita de la operator informatiile prevazute la alin. (1), printr-o cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
   (3) Operatorul este obligat sa comunice informatiile solicitate, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
   (4) In cazul datelor cu caracter personal legate de starea de sanatate, cererea prevazuta la alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica in cerere persoana in numele careia este introdusa. La cererea operatorului sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi facuta prin intermediul unui cadru medical desemnat de persoana vizata.
   (5) In cazul in care datele cu caracter personal legate de starea de sanatate sunt prelucrate in scop de cercetare stiintifica, daca nu exista, cel putin aparent, riscul de a se aduce atingere drepturilor persoanei vizate si daca datele nu sunt utilizate pentru a lua decizii sau masuri fata de o anumita persoana, comunicarea prevazuta la alin. (3) se poate face si intr-un termen mai mare decat cel prevazut la acel alineat, in masura in care aceasta ar putea afecta bunul mers sau rezultatele cercetarii, si nu mai tarziu de momentul in care cercetarea este incheiata. In acest caz persoana vizata trebuie sa isi fi dat in mod expres si neechivoc consimtamantul ca datele sa fie prelucrate in scop de cercetare stiintifica, precum si asupra posibilei amanari a comunicarii prevazute la alin. (3) din acest motiv.
   (6) Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.

   
Dreptul de interventie asupra datelor

   Art. 14. - (1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit:
   a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este conforma prezentei legi, in special a datelor incomplete sau inexacte;
   b) dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este conforma prezentei legi;
   c) notificarea catre tertii carora le-au fost dezvaluite datele a oricarei operatiuni efectuate conform lit. a) sau b), daca aceasta notificare nu se dovedeste imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat.
   (2) Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata va inainta operatorului o cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
   (3) Operatorul este obligat sa comunice masurile luate in temeiul alin. (1), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).

   
Dreptul de opozitie

   Art. 15. - (1) Persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare. In caz de opozitie justificata prelucrarea nu mai poate viza datele in cauza.
   (2) Persoana vizata are dreptul de a se opune in orice moment, in mod gratuit si fara nici o justificare, ca datele care o vizeaza sa fie prelucrate in scop de marketing direct, in numele operatorului sau al unui tert, sau sa fie dezvaluite unor terti intr-un asemenea scop.
   (3) In vederea exercitarii drepturilor prevazute la alin. (1) si (2) persoana vizata va inainta operatorului o cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
   (4) Operatorul este obligat sa comunice persoanei vizate masurile luate in temeiul alin. (1) sau (2), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).

   
Exceptii

   Art. 16. - (1) Prevederile art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica in cazul activitatilor prevazute la art. 2 alin. (5), daca prin aplicarea acestora este prejudiciata eficienta actiunii sau obiectivul urmarit in indeplinirea atributiilor legale ale autoritatii publice.
   (2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesara atingerii obiectivului urmarit prin desfasurarea activitatilor mentionate la art. 2 alin. (5).
   (3) Dupa incetarea situatiei care justifica aplicarea alin. (1) si (2) operatorii care desfasoara activitatile prevazute la art. 2 alin. (5) vor lua masurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
   (4) Autoritatile publice tin evidenta unor astfel de cazuri si informeaza periodic autoritatea de supraveghere despre modul de solutionare a lor.

   
Dreptul de a nu fi supus unei decizii individuale

   Art. 17. - (1) Orice persoana are dreptul de a cere si de a obtine:
   a) retragerea sau anularea oricarei decizii care produce efecte juridice in privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu caracter personal, efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale personalitatii sale, precum competenta profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte;
   b) reevaluarea oricarei alte decizii luate in privinta sa, care o afecteaza in mod semnificativ, daca decizia a fost adoptata exclusiv pe baza unei prelucrari de date care intruneste conditiile prevazute la lit. a).
   (2) Respectandu-se celelalte garantii prevazute de prezenta lege, o persoana poate fi supusa unei decizii de natura celei vizate la alin. (1), numai in urmatoarele situatii:
   a) decizia este luata in cadrul incheierii sau executarii unui contract, cu conditia ca cererea de incheiere sau de executare a contractului, introdusa de persoana vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum posibilitatea de a-si sustine punctul de vedere, sa garanteze apararea propriului interes legitim;
   b) decizia este autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului legitim al persoanei vizate.

   
Dreptul de a se adresa justitiei

   Art. 18. - (1) Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege, care le-au fost incalcate.
   (2) Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
   (3) Instanta competenta este cea in a carei raza teritoriala domiciliaza reclamantul. Cererea de chemare in judecata este scutita de taxa de timbru.

   
CAPITOLUL V

  Confidentialitatea si securitatea prelucrarilor

   
Confidentialitatea prelucrarilor

   Art. 19. - Orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite, inclusiv persoana imputernicita, care are acces la date cu caracter personal, nu poate sa le prelucreze decat pe baza instructiunilor operatorului, cu exceptia cazului in care actioneaza in temeiul unei obligatii legale.

   
Securitatea prelucrarilor

   Art. 20. - (1) Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala.
   (2) Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii utilizate in procesul de prelucrare si de costuri, un nivel de securitate adecvat in ceea ce priveste riscurile pe care le reprezinta prelucrarea, precum si in ceea ce priveste natura datelor care trebuie protejate. Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic, corespunzator progresului tehnic si experientei acumulate.
   
Punere in aplicare prin Ordin 52/2002 :
ANEXA
CERINTELE MINIME DE SECURITATE
a prelucrarilor de date cu caracter personal
Prezentele cerinte minime de securitate a prelucrarilor de date cu caracter personal trebuie sa stea la baza adoptarii si implementarii de catre operator a masurilor tehnice si organizatorice necesare pentru pastrarea confidentialitatii si integritatii datelor cu caracter personal. In concordanta cu acestea operatorii isi vor stabili propriile politici si proceduri de securitate.
Cerintele minime de securitate a prelucrarilor de date cu caracter personal acopera urmatoarele aspecte:
1. Identificarea si autentificarea utilizatorului
Prin utilizator se intelege orice persoana care actioneaza sub autoritatea operatorului, a persoanei imputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.
Utilizatorii, pentru a capata acces la o baza de date cu caracter personal, trebuie sa se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatura (un sir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.
Fiecare utilizator are propriul sau cod de identificare. Niciodata mai multi utilizatori nu trebuie sa aiba acelasi cod de identificare.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai indelungata trebuie dezactivate si distruse dupa un control prealabil intern al operatorului. Perioada dupa care codurile trebuie dezactivate si distruse se stabileste de operator.
Orice cont de utilizator este insotit de o modalitate de autentificare. Autentificarea poate fi facuta prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopica, amprenta vocala, angiografia retiniana etc.
Parolele sunt siruri de caractere. Cu cat sirul de caractere este mai lung, cu atat parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie sa fie afisate in clar pe monitor. Parolele trebuie schimbate periodic in functie de politicile de securitate ale entitatii (operator sau persoana imputernicita). Schimbarea periodica a parolelor se face numai de catre utilizatori autorizati de operator.
Operatorul trebuie sa solicite realizarea unui sistem informational care sa refuze automat accesul unui utilizator dupa 5 introduceri gresite ale parolei.
Orice utilizator care primeste un cod de identificare si un mijloc de autentificare trebuie sa pastreze confidentialitatea acestora si sa raspunda in acest sens in fata operatorului.
Fiecare entitate va stabili o procedura proprie de administrare si gestionare a conturilor de utilizator.
Operatorii autorizeaza anumiti utilizatori pentru a revoca sau a suspenda un cod de identificare si autentificare, daca utilizatorul acestora si-a dat demisia ori a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter personal, a abuzat de codurile primite sau daca va absenta o perioada indelungata stabilita de entitate.
Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entitatii.
2. Tipul de acces
Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru indeplinirea atributiilor lor de serviciu. Pentru aceasta operatorii trebuie sa stabileasca tipurile de acces dupa functionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) si dupa actiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, stergere), precum si procedurile privind aceste tipuri de acces.
Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal dupa ce acestea au fost transformate in date anonime.
Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri exceptionale.
Pentru activitatea de pregatire a utilizatorilor sau pentru realizarea de prezentari se vor folosi date anonime. Angajatii care predau cursurile de pregatire vor folosi date cu caracter personal pe parcursul propriei lor pregatiri.
Operatorul va stabili modalitatile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceasta prelucrare de date cu caracter personal trebuie limitata la cativa utilizatori.
3. Colectarea datelor
Operatorul desemneaza utilizatori autorizati pentru operatiile de colectare si introducere de date cu caracter personal intr-un sistem informational.
Orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati desemnati de operator.
Operatorul va lua masuri pentru ca sistemul informational sa inregistreze cine a facut modificarea, data si ora modificarii. Pentru o mai buna administrare operatorul va lua masuri ca sistemul informational sa mentina datele sterse sau modificate.
4. Executia copiilor de siguranta
Operatorul va stabili intervalul de timp la care se vor executa copiile de siguranta ale bazelor de date cu caracter personal, precum si ale programelor folosite pentru prelucrarile automatizate. Utilizatorii care executa aceste copii de siguranta vor fi numiti de operator, intr-un numar restrans. Copiile de siguranta se vor stoca in alte camere, in fisete metalice cu sigiliu aplicat, si, daca este posibil, chiar in camere din alta cladire.
Operatorul va lua masuri ca accesul la copiile de siguranta sa fie monitorizat.
5. Computerele si terminalele de acces
Computerele si alte terminale de acces vor fi instalate in incaperi cu acces restrictionat. Daca nu pot fi asigurate aceste conditii, computerele se vor instala in incaperi care se pot incuia sau se vor lua masuri ca accesul la computere sa se faca cu ajutorul unor chei ori cartele magnetice.
Daca pe ecran apar date cu caracter personal asupra carora nu se actioneaza o perioada data, stabilita de operator, sesiunea de lucru trebuie inchisa automat. Marimea acestei perioade se determina in functie de operatiile care trebuie executate.
Terminalele de acces folosite in relatia cu publicul, pe care apar date cu caracter personal, vor fi pozitionate astfel incat sa nu poata fi vazute de public si dupa o perioada scurta, stabilita de operator, in care nu se actioneaza asupra lor, acestea trebuie ascunse.
6. Fisierele de acces
Operatorul este obligat sa ia masuri ca orice accesare a bazei de date cu caracter personal sa fie inregistrata intr-un fisier de acces (numit log la prelucrarile automate) sau intr-un registru pentru prelucrarile manuale de date cu caracter personal, stabilit de operator. Informatiile inregistrate in fisierul de acces sau in registru vor fi:
- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
- numele fisierului accesat (fisei);
- numarul inregistrarilor efectuate;
- tipul de acces;
- codul operatiei executate sau programul folosit;
- data accesului (an, luna, zi);
- timpul (ora, minutul, secunda).
Pentru prelucrarile automate aceste informatii vor fi stocate intr-un fisier de acces general sau in fisiere separate pentru fiecare utilizator. Orice incercare de acces neautorizat va fi, de asemenea, inregistrata.
Operatorul este obligat sa pastreze fisierele de acces cel putin 2 ani, pentru a fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, aceste fisiere se vor pastra atat timp cat se va considera necesar.
Fisierele de acces trebuie sa faca posibila identificarea de catre operator sau de catre persoana imputernicita a persoanelor care au accesat date cu caracter personal fara un motiv anume, in vederea aplicarii unor sanctiuni sau a sesizarii organelor competente.
7. Sistemele de telecomunicatii
Operatorul este obligat sa faca periodic controlul autentificarilor si tipurilor de acces pentru detectarea unor disfunctionalitati in ceea ce priveste folosirea sistemelor de telecomunicatii.
Operatorii sunt obligati sa conceapa sistemul de telecomunicatii astfel incat datele cu caracter personal sa nu poata fi interceptate sau transmise de oriunde. Daca sistemul de telecomunicatii nu poate fi astfel securizat, operatorul este obligat sa impuna folosirea metodei de criptare pentru transmisia datelor cu caracter personal.
Prin sistemele de telecomunicatii se vor transmite numai datele cu caracter personal strict necesare.
8. Instruirea personalului
In cadrul cursurilor de pregatire a utilizatorilor operatorul este obligat sa faca informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, in functie de specificul activitatii utilizatorului.
Utilizatorii care au acces la date cu caracter personal vor fi instruiti de catre operator asupra confidentialitatii acestora si vor fi avertizati prin mesaje care vor aparea pe monitoare in timpul activitatii. Utilizatorii sunt obligati sa isi inchida sesiunea de lucru atunci cand parasesc locul de munca.
9. Folosirea computerelor
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) operatorul va lua masuri care vor consta in:
a) interzicerea folosirii de catre utilizatori a programelor software care provin din surse externe sau dubioase;
b) informarea utilizatorilor in privinta pericolului privind virusii informatici;
c) implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice;
d) dezactivarea, pe cat posibil, a tastei "Print screen", atunci cand sunt afisate pe monitor date cu caracter personal, interzicandu-se astfel scoaterea la imprimanta a acestora.
10. Imprimarea datelor
Scoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizati pentru aceasta operatiune de catre operator. Operatorii sunt obligati sa aprobe proceduri interne specifice privind folosirea si distrugerea acestor materiale.
Fiecare entitate isi va aproba propriul sistem de securitate, tinand seama de aceste cerinte minime de securitate a prelucrarilor de date cu caracter personal, iar in functie de importanta datelor cu caracter personal prelucrate, isi va impune masuri de securitate suplimentare.
   (3) Operatorul, atunci cand desemneaza o persoana imputernicita, este obligat sa aleaga o persoana care prezinta suficiente garantii in ceea ce priveste masurile de securitate tehnica si organizatorice cu privire la prelucrarile ce vor fi efectuate, precum si sa vegheze la respectarea acestor masuri de catre persoana desemnata.
   (4) Autoritatea de supraveghere poate decide, in cazuri individuale, asupra obligarii operatorului la adoptarea unor masuri suplimentare de securitate, cu exceptia celor care privesc garantarea securitatii serviciilor de telecomunicatii.
   (5) Efectuarea prelucrarilor prin persoane imputernicite trebuie sa se desfasoare in baza unui contract incheiat in forma scrisa, care va cuprinde in mod obligatoriu:
   a) obligatia persoanei imputernicite de a actiona doar in baza instructiunilor primite de la operator;
   b) faptul ca indeplinirea obligatiilor prevazute la alin. (1) revine si persoanei imputernicite.

   
CAPITOLUL VI

  Supravegherea si controlul prelucrarilor de date cu caracter personal

   
Autoritatea de supraveghere

   Art. 21. - (1) Autoritatea de supraveghere, in sensul prezentei legi, este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
    ___________
    Alineatul (1) a fost modificat prin punctul 1. din Lege nr. 102/2005 incepand cu 12.05.2005.

   (2) Autoritatea de supraveghere isi desfasoara activitatea in conditii de completa independenta si impartialitate.
   (3) Autoritatea de supraveghere monitorizeaza si controleaza sub aspectul legalitatii prelucrarile de date cu caracter personal care cad sub incidenta prezentei legi.
    In acest scop autoritatea de supraveghere exercita urmatoarele atributii:
   a) elaboreaza formularele tipizate ale notificarilor si ale registrelor proprii;
   
Punere in aplicare prin Decizie 95/2008 :
ANEXA*)
*) Anexa este reprodusa in facsimil.
+-----------------------------------------+ +------------------------------------------+ | AUTORITATEA NATIONALA DE SUPRAVEGHERE A | | SE COMPLETEAZA DE A.N.S.P.D.C.P. | |PRELUCRARII DATELOR CU CARACTER PERSONAL | | | | (A.N.S.P.D.C.P.) | |NR. R.G. -_-_-_-_-_-_-_-_-_- | |Bd. Gheorghe Magheru nr. 28-30, sectorul | |DATA -_-_-_-_-_-_-_-_-_- | |1, Bucuresti, telefon 031.805.9211 | |NR. NOTIFICARE -_-_-_-_-_-_-_-_-_- | | | +-----------------------------------------+ +------------------------------------------+ +----------------------------------------------------------------------------------------------------------------------+ | NOTIFICARE PENTRU PRELUCRAREA DATELOR CU CARACTER PERSONAL | +----------------------------------------------------------------------------------------------------------------------+ +----------------------------------------------------------------------------------------------------------------------+ |NOTIFICARE GENERALA*) [ ] NOTIFICARE SIMPLIFICATA**) [ ] NOTIFICARE SPECIALA***) [ ] | | | |*) Se completeaza toate rubricile. | |**) Se completeaza numai rubricile I, II, III, IV, VI, IX, X, XI, XII, XIII si XIV, de catre operatorii care | | prelucreaza date cu caracter personal pentru scopurile stabilite prin decizie a presedintelui A.N.S.P.D.C.P. | |***) Se completeaza numai rubricile I, III, IV, V, IX, X si XI de catre autoritatile publice care prelucreaza date | | personale potrivit art. 2 alin. (5) din Legea nr. 677/2001. | +----------------------------------------------------------------------------------------------------------------------+ +----------------------------------------------------------------------------------------------------------------------+ |NOTIFICARE, NOUA [ ] MODIFICAREA/COMPLETAREA UNEI NOTIFICARI INREGISTRATE IN R.E.P.D.C.P*) [ ] | | PRECIZATI NUMARUL DE INREGISTRARE**): -_-_-_-_-_-_-_-_-_- | | | | *) Registrul de Evidenta a Prelucrarilor de Date cu Caracter Personal | |**) Atentie+ Se mentioneaza numarul unei notificari deja inregistrate in R.E.P.D.C.P. | | Neprecizarea acestuia atrage imposibilitatea analizarii si inregistrarii acestei notificari. | +----------------------------------------------------------------------------------------------------------------------+ I. Operatorul +----------------------------------------------------------------------------------------------------------------------+ |Numele/Denumirea operatorului ........................................................................................| |Adresa/Sediul ........................................................................................................| |Cod postal .............. Tara .................. Judetul ................ Localitatea ............... Sectorul ......| |Tel: ............................... Fax: ................................ CIF .......................................| |E-mail: ..............................................................................................................| | (pe aceasta adresa se va primi confirmarea inregistrarii formularului in Registrul General al ANSPDCP) | | | |Persoana fizica: [ ] Persoana fizica autorizata: [ ] Persoana juridica: [ ] | |Sector public [ ] Autoritate centrala [ ] Autoritate locala [ ] Altele [ ] | |Sector privat [ ] | |Membru al unei asociatii (in sensul art. 28 din Legea nr. 677/2001) ..................................................| |Persoana de contact: Numele si prenumele ................................................ Telefon ...................| | | | DECLARATIE | | | |Declar, pe propria raspundere, ca toate informatiile furnizate in acest formular sunt complete, exacte si corecte. | |Numele si prenumele operatorului/reprezentantului legal: _____________________________________________________________| |Functia/Profesia: ____________________________________________________________________________________________________| |Data: ___________________________________________________ | | | | +--------+ | | Semnatura, | L.S. | | | __________________ +--------+ | +----------------------------------------------------------------------------------------------------------------------+ +----------------------------------------------------------------------------------------------------------------------+ | NOTA: | | | | Inainte de a completa rubricile din prezentul formular va recomandam sa consultati instructiunile cuprinse in | |Ghidul de completare a notificarilor. | | Notificarea se completeaza cu majuscule, in mod clar si concis. Informatiile din acest formular sunt obligatorii si| |sunt destinate a fi incluse in R.E.P.D.C.P. al carui scop este asigurarea caracterului public al prelucrarilor de | |date. In cazul in care intervin schimbari in activitatea de prelucrare a datelor cu caracter personal sau exista o | |solicitare in acest sens din partea autoritatii de supraveghere, operatorul are obligatia de a completa sau modifica | |notificarea, in termen legal. Omisiunea de a notifica, precum si notificarea incompleta sau care contine informatii | |false constituie contraventii si se sanctioneaza cu amenda potrivit art. 31 din Legea nr. 677/2001. | | Numarul de notificare, primit ulterior depunerii notificarii la autoritatea de supraveghere, trebuie mentionat pe | |orice act prin care datele cu caracter personal sunt colectate, stocate sau dezvaluite. | | Persoanele fizice ale caror date cu caracter personal sunt mentionate la sectiunile I, II si III ale formularului | |isi pot exercita drepturile de acces, opozitie, rectificare si stergere a datelor, adresandu-se A.N.S.P.D.C.P. | |printr-o cerere scrisa, datata si semnata. | +----------------------------------------------------------------------------------------------------------------------+ II. Reprezentantul operatorului situat intr-un stat tert +----------------------------------------------------------------------------------------------------------------------+ |Numele/Denumirea reprezentantului ....................................................................................| |Adresa/Sediul ........................................................................................................| |Cod postal .............. Tara .................. Judetul ................ Localitatea ............... Sectorul ......| |Tel: ............................... Fax: ................................ CIF .......................................| |E-mail: ..............................................................................................................| |Persoana fizica: [ ] Persoana fizica autorizata: [ ] Persoana juridica: [ ] | |Sector public [ ] Autoritate centrala [ ] Autoritate locala [ ] Altele [ ] | |Sector privat [ ] | |Membru al unei asociatii (in sensul art. 28 din Legea nr. 677/2001) ..................................................| |Persoana de contact: Numele si prenumele ................................................ Telefon ...................| +----------------------------------------------------------------------------------------------------------------------+ III. Imputernicitul care prelucreaza datele pe seama operatorului +----------------------------------------------------------------------------------------------------------------------+ |Anexati documentul (pe suport de hartie sau magnetic) continand urmatoarele date ale persoanei/persoanelor | |imputernicite: numele/denumirea, adresa/sediul, tara, judetul, localitatea, sectorul, codul postal, telefon, fax, | |e-mail. | +----------------------------------------------------------------------------------------------------------------------+ IV. Scopul prelucrarii +------+-------------------------------------------------+------+------------------------------------------------------+ | 1 [ ]|resurse umane |20 [ ]|servicii de consiliere legala si reprezentare in | | | | |justitie | | 2 [ ]|gestiune economico-financiara si administrativa |21 [ ]|servicii financiar-bancare | | 3 [ ]|selectie si plasare forta de munca |22 [ ]|rapoarte de credit | | 4 [ ]|reclama, marketing si publicitate |23 [ ]|colectare debite/recuperare creante | | 5 [ ]|servicii de sanatate |24 [ ]|servicii de asigurari si reasigurari | | 6 [ ]|educatie si cultura |25 [ ]|tranzactii imobiliare | | 7 [ ]|protectie si asistenta sociala |26 [ ]|servicii hoteliere si de turism | | 8 [ ]|urbanism si amenajarea teritoriului |27 [ ]|monitorizarea/securitatea persoanelor, spatiilor | | | | |si/sau bunurilor publice/private | | 9 [ ]|fond funciar |28 [ ]|servicii de comunicatii electronice | |10 [ ]|cadastru si publicitate imobiliara |29 [ ]|constatarea si sanctionarea contraventiilor | |11 [ ]|taxe si impozite |30 [ ]|prevenirea, cercetarea, reprimarea infractiunilor, | | | | |mentinerea ordinii publice | |12 [ ]|evidenta populatiei si stare civila |31 [ ]|alte activitati desfasurate in domeniul dreptului | | | | |penal (precizati) ....................................| |13 [ ]|evidenta electorala | |......................................................| |14 [ ]|emitere autorizatii/licente | |......................................................| |15 [ ]|statistica | |......................................................| |16 [ ]|cercetare stiintifica |32 [ ]|alte scopuri (precizati) .............................| |17 [ ]|administrarea justitiei | |......................................................| |18 [ ]|activitate notariala | |......................................................| |19 [ ]|activitate politica | |......................................................| +------+-------------------------------------------------+------+------------------------------------------------------+ V. Temeiul legal al prelucrarii*) +----------------------------------------------------------------------------------------------------------------------+ |Precizati actele normative specifice domeniului de activitate: | |......................................................................................................................| |......................................................................................................................| |......................................................................................................................| |*) Atentie+ Se completeaza numai pentru Notificarea speciala. | +----------------------------------------------------------------------------------------------------------------------+ VI. Categorii de persoane vizate +------+-------------------------------------------------+------+------------------------------------------------------+ |1 [ ]|clienti/potentiali clienti |14 [ ]|pasageri | |2 [ ]|consumatori/potentiali consumatori |15 [ ]|membri | |3 [ ]|debitori |16 [ ]|titulari ai drepturilor reale | |4 [ ]|pacienti |17 [ ]|electori/sustinatori ai partidelor politice | |5 [ ]|cadre medico-sanitare |18 [ ]|subiecti ai unei cercetari, publicatii sau emisiuni | | | | |radio-tv | |6 [ ]|farmacisti |19 [ ]|justitiabili | |7 [ ]|cadre didactice |20 [ ]|contribuabili | |8 [ ]|studenti |21 [ ]|abonati | |9 [ ]|minori |22 [ ]|angajati | |10 [ ]|beneficiari ai serviciilor de protectie si |23 [ ]|membrii familiei persoanei vizate | | |asistenta sociala | | | |11 [ ]|beneficiari ai serviciilor publice locale |24 [ ]|altele (precizati) | |12 [ ]|beneficiari ai asigurarilor | |......................................................| |13 [ ]|vizitatori | |......................................................| +------+-------------------------------------------------+------+------------------------------------------------------+ VII. Motivele care justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6) din Legea nr. 677/2001 +----------------------------------------------------------------------------------------------------------------------+ |[ ] scopuri statistice [ ] cercetare stiintifica [ ] cercetare istorica [ ] altele .............................| +----------------------------------------------------------------------------------------------------------------------+ VIII. Modul in care persoanele vizate sunt informate asupra drepturilor lor +----------------------------------------------------------------------------------------------------------------------+ |[ ] in scris*) [ ] prin afisare la sediu*) [ ] verbal [ ] exceptat prin lege**) | |[ ] prin afisare pe pagina web***) ...................................................................................| | *) Se ataseaza modelul notei de informare. | | **) Potrivit art. 12 alin. (3) sau (4) din Legea nr. 677/2001. | |***) Se mentioneaza adresa URL a paginii WEB. | +----------------------------------------------------------------------------------------------------------------------+ IX. Categorii de date prelucrate +------+-------------------------------------------------+------+------------------------------------------------------+ | 1 [ ]|numele si prenumele |16 [ ]|profesie | | 2 [ ]|numele si prenumele membrilor de familie |17 [ ]|loc de munca | | 3 [ ]|sexul |18 [ ]|formare profesionala - diplome - studii | | 4 [ ]|porecla/pseudonimul |19 [ ]|situatie familiala | | 5 [ ]|data si locul nasterii |20 [ ]|situatie militara | | 6 [ ]|cetatenia |21 [ ]|situatie economica si financiara | | 7 [ ]|semnatura |22 [ ]|date privind bunurile detinute | | 8 [ ]|date din actele de stare civila |23 [ ]|date bancare | | 9 [ ]|date din permisul de conducere/certificatul de |24 [ ]|obisnuinte/preferinte/comportament | | |inmatriculare | | | |10 [ ]|nr. dosarului de pensie |25 [ ]|imagine | |11 [ ]|nr. asigurarii sociale/asigurarii de sanatate |26 [ ]|voce | |12 [ ]|caracteristici fizice/antropometrice |27 [ ]|date de geolocalizare/date de trafic | |13 [ ]|telefon/fax |28 [ ]|altele (precizati): ..................................| |14 [ ]|adresa (domiciliu/resedinta) | |......................................................| |15 [ ]|e-mail | |......................................................| | | | |......................................................| +------+-------------------------------------------------+------+------------------------------------------------------+ X. Categorii de date cu caracter special +------+-------------------------------------------------+------+------------------------------------------------------+ | 1 [ ]|date cu caracter personal care denota originea |11 [ ]|date privind starea de sanatate | | |rasiala a persoanelor vizate | | | | 2 [ ]|date cu caracter personal care denota originea |12 [ ]|date genetice | | |etnica a persoanelor vizate | | | | 3 [ ]|date cu caracter personal care denota |13 [ ]|dale biometrice | | |convingerile politice ale persoanelor vizate | | | | 4 [ ]|date cu caracter personal care denota |14 [ ]|date privind viata sexuala | | |convingerile filozofice ale persoanelor vizate | | | | 5 [ ]|date cu caracter personal care denota |15 [ ]|date privind savarsirea de infractiuni | | |convingerile religioase ale persoanelor vizate | | | | 6 [ ]|date cu caracter personal care denota apartenenta|16 [ ]|date privind condamnari penale/masuri de siguranta | | |sindicala a persoanelor vizate | | | | 7 [ ]|date cu caracter personal care denota apartenenta|17 [ ]|date privind sanctiuni disciplinare | | |la un partid politic a persoanelor vizate | | | | 8 [ ]|date cu caracter personal care denota apartenenta|18 [ ]|date privind sanctiuni contraventionale | | |la o organizatie religioasa a persoanelor vizate | | | | 9 [ ]|codul numeric personal |19 [ ]|date privind cazierul judiciar | |10 [ ]|seria si numarul actului de |20 [ ]|altele (precizati) ...................................| | |identitate/pasaportului | |......................................................| +------+-------------------------------------------------+------+------------------------------------------------------+ XI. Categorii de destinatari +------+-------------------------------------------------+------+------------------------------------------------------+ | 1 [ ]|persoana vizata |13 [ ]|societati de asigurare si reasigurare | | 2 [ ]|reprezentantii legali ai persoanei vizate |14 [ ]|organizatii profesionale | | 3 [ ]|imputernicitul operatorului |15 [ ]|organizatii politice | | 4 [ ]|partenerii contractuali ai operatorului |16 [ ]|asociatii si fundatii | | 5 [ ]|alte companii din acelasi grup cu operatorul |17 [ ]|mass-media | | 6 [ ]|autoritati publice centrale/locale |18 [ ]|angajatorul/potentialul angajator al persoanei vizate | | 7 [ ]|servicii sociale si de sanatate |19 [ ]|agentii de selectie si plasare a fortei de munca | | 8 [ ]|institutii de invatamant si educatie |20 [ ]|organizatii de cercetare a pietei | | 9 [ ]|furnizorii de servicii si bunuri |21 [ ]|altele (precizati) | |10 [ ]|societati bancare | |......................................................| |11 [ ]|birouri de credit | |......................................................| |12 [ ]|agentii de colectare a debitelor/recuperare a | |......................................................| | |creantelor | |......................................................| +------+-------------------------------------------------+------+------------------------------------------------------+ XII. Garantiile care insotesc dezvaluirea datelor catre terti +----------------------------------------------------------------------------------------------------------------------+ |[ ] consimtamantul persoanei vizate [ ] acte normative*) ......................................................| |[ ] alte garantii (precizati) ........................................................................................| |*) Se precizeaza numarul, data si titlul actului normativ. | +----------------------------------------------------------------------------------------------------------------------+ XIII. Incheierea operatiunilor de prelucrare si destinatia ulterioara a datelor +----------------------------------------------------------------------------------------------------------------------+ |[ ] data estimata*) ..................................................................................................| |[ ] data certa a incetarii operatiunilor de prelucrare**) ............................................................| | prin: [ ] prelucrare in alt scop cu consimtamantul persoanei vizate | | [ ] stergere [ ] distrugere [ ] arhivare | |[ ] transformare in date anonime si stocare exclusiv in scopuri statistice, de cercetare istorica sau stiintifica | |[ ] transferare unui alt operator | | *) Se completeaza la data depunerii notificarii. | |**) Se completeaza la data incheierii tuturor operatiunilor de prelucrare. | +----------------------------------------------------------------------------------------------------------------------+ XIV. Transferuri de date in strainatate +----------------------------------------------------------------------------------------------------------------------+ |1. In state din Uniunea Europeana [ ] | |2. In alte state din Zona Economica Europeana [ ] | |3. In state carora Comisia Europeana le-a recunoscut prin decizie un nivel de protectie adecvat [ ] | |Precizati statele: ...................................................................................................| |Precizati scopul transferului, prin mentionarea indicativului respectiv de la rubrica IV: ............................| |Precizati datele/categoriile de date transferate, prin mentionarea indicativului respectiv de la rubricile IX si/sau X| |......................................................................................................................| |4. In alte state decat cele de la punctele 1, 2 si 3 [ ] | |Precizati statele: ...................................................................................................| |Precizati scopul transferului, prin mentionarea indicativului respectiv de la rubrica IV: ............................| |Precizati datele/categoriile de date transferate, prin mentionarea indicativului respectiv de la rubricile IX si/sau X| |......................................................................................................................| |Transfer in baza art. 29 alin. (4) din Legea nr. 677/2001*) [ ] | |Transfer in baza art. 30 din Legea nr. 677/2001 [ ] | |*) Se anexeaza copia contractului incheiat intre importatorul si exportatorul de date. | +----------------------------------------------------------------------------------------------------------------------+ XV. Masurile luate pentru asigurarea securitatii prelucrarii*) +----------------------------------------------------------------------------------------------------------------------+ |......................................................................................................................| |......................................................................................................................| |......................................................................................................................| |......................................................................................................................| |*) Se realizeaza o descriere generala care sa permita aprecierea preliminara a masurilor luate pentru asigurarea | | securitatii prelucrarii. | | Se anexeaza documentul/ele continand politica de securitate a prelucrarilor de date cu caracter personal sau | | extrase din politicile interne ale operatorului care contin aceste masuri. | +----------------------------------------------------------------------------------------------------------------------+ XVI. Sistemul de evidenta utilizat si legaturile cu alte prelucrari de date sau sisteme de evidenta +----------------------------------------------------------------------------------------------------------------------+ |Sistem manual [ ] Sistem automatizat [ ] Mixt [ ] | |Prelucrarea are legatura cu alte sisteme de evidenta/prelucrari: da [ ] nu [ ] | |In cazul in care ati bifat da, precizati daca sistemul de evidenta este situat: pe teritoriul Romaniei [ ] | | in strainatate [ ] | |......................................................................................................................| |......................................................................................................................| +----------------------------------------------------------------------------------------------------------------------+
   b) primeste si analizeaza notificarile privind prelucrarea datelor cu caracter personal, anuntand operatorului rezultatele controlului prealabil;
   c) autorizeaza prelucrarile de date in situatiile prevazute de lege;
   d) poate dispune, in cazul in care constata incalcarea dispozitiilor prezentei legi, suspendarea provizorie sau incetarea prelucrarii datelor, stergerea partiala ori integrala a datelor prelucrate si poate sa sesiseze organele de urmarire penala sau sa intenteze actiuni in justitie;
   d1) informeaza persoanele fizice sau/si juridice care activeaza in aceste domenii, in mod direct sau prin intermediul structurilor asociative ale acestora, asupra necesitatii respectarii obligatiilor si indeplinirii procedurilor prevazute de prezenta lege;
    ___________
    Litera d1) a fost introdusa prin punctul 2. din Lege nr. 102/2005 incepand cu 12.05.2005.

   e) pastreaza si pune la dispozitie publicului registrul de evidenta a prelucrarilor de date cu caracter personal;
   f) primeste si solutioneaza plangeri, sesizari sau cereri de la persoanele fizice si comunica solutia data ori, dupa caz, diligentele depuse;
   g) efectueaza investigatii din oficiu sau la primirea unor plangeri ori sesizari;
   h) este consultata atunci cand se elaboreaza proiecte de acte normative referitoare la protectia drepturilor si libertatilor persoanelor, in privinta prelucrarii datelor cu caracter personal;
   i) poate face propuneri privind initierea unor proiecte de acte normative sau modificarea actelor normative in vigoare in domenii legate de prelucrarea datelor cu caracter personal;
   j) coopereaza cu autoritatile publice si cu organele administratiei publice, centralizeaza si analizeaza rapoartele anuale de activitate ale acestora privind protectia persoanelor in privinta prelucrarii datelor cu caracter personal, formuleaza recomandari si avize asupra oricarei chestiuni legate de protectia drepturilor si libertatilor fundamentale in privinta prelucrarii datelor cu caracter personal, la cererea oricarei persoane, inclusiv a autoritatilor publice si a organelor administratiei publice; aceste recomandari si avize trebuie sa faca mentiune despre temeiurile pe care se sprijina si se comunica in copie si Ministerului Justitiei; atunci cand recomandarea sau avizul este cerut de lege, se publica in Monitorul Oficial al Romaniei, Partea I;
   k) coopereaza cu autoritatile similare de peste hotare in vederea asistentei mutuale, precum si cu persoanele cu domiciliul sau cu sediul in strainatate, in scopul apararii drepturilor si libertatilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
   l) indeplineste alte atributii prevazute de lege.
   m) modul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal se stabileste prin lege.
    ___________
    Litera m) a fost introdusa prin punctul 3. din Lege nr. 102/2005 incepand cu 12.05.2005.

   (4) Intregul personal al autoritatii de supraveghere are obligatia de a pastra secretul profesional, cu exceptiile prevazute de lege, pe termen nelimitat, asupra informatiilor confidentiale sau clasificate la care are sau a avut acces in exercitarea atributiilor de serviciu, inclusiv dupa incetarea raporturilor juridice cu autoritatea de supraveghere.

   
Notificarea catre autoritatea de supraveghere

   Art. 22. - (1) Operatorul este obligat sa notifice autoritatii de supraveghere, personal sau prin reprezentant, inainte de efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari avand acelasi scop sau scopuri corelate.
   (2) Notificarea nu este necesara in cazul in care prelucrarea are ca unic scop tinerea unui registru destinat prin lege informarii publicului si deschis spre consultare publicului in general sau oricarei persoane care probeaza un interes legitim, cu conditia ca prelucrarea sa se limiteze la datele strict necesare tinerii registrului mentionat.
   (3) Notificarea va cuprinde cel putin urmatoarele informatii:
   a) numele sau denumirea si domiciliul ori sediul operatorului si ale reprezentantului desemnat al acestuia, daca este cazul;
   b) scopul sau scopurile prelucrarii;
   c) o descriere a categoriei sau a categoriilor de persoane vizate si a datelor ori a categoriilor de date ce vor fi prelucrate;
   d) destinatarii sau categoriile de destinatari carora se intentioneaza sa li se dezvaluie datele;
   e) garantiile care insotesc dezvaluirea datelor catre terti;
   f) modul in care persoanele vizate sunt informate asupra drepturilor lor; data estimata pentru incheierea operatiunilor de prelucrare, precum si destinatia ulterioara a datelor;
   g) transferuri de date care se intentioneaza sa fie facute catre alte state;
   h) o descriere generala care sa permita aprecierea preliminara a masurilor luate pentru asigurarea securitatii prelucrarii;
   i) specificarea oricarui sistem de evidenta a datelor cu caracter personal, care are legatura cu prelucrarea, precum si a eventualelor legaturi cu alte prelucrari de date sau cu alte sisteme de evidenta a datelor cu caracter personal, indiferent daca se efectueaza, respectiv daca sunt sau nu sunt situate pe teritoriul Romaniei;
   j) motivele care justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice ori in scopuri statistice, de cercetare istorica sau stiintifica.
   (4) Daca notificarea este incompleta, autoritatea de supraveghere va solicita completarea acesteia.
   (5) In limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita si alte informatii, in special privind originea datelor, tehnologia de prelucrare automata utilizata si detalii referitoare la masurile de securitate. Dispozitiile prezentului alineat nu se aplica in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice.
   (6) Daca se intentioneaza ca datele care sunt prelucrate sa fie transferate in strainatate, notificarea va cuprinde si urmatoarele elemente:
   a) categoriile de date care vor face obiectul transferului;
   b) tara de destinatie pentru fiecare categorie de date.
   (7) Abrogat prin alineatul (2) din Ordonanta de urgenta nr. 36/2007 incepand cu 22.10.2007.
   (8) Autoritatile publice care efectueaza prelucrari de date cu caracter personal in legatura cu activitatile descrise la art. 2 alin. (5), in temeiul legii sau in indeplinirea obligatiilor asumate prin acorduri internationale ratificate, sunt scutite de taxa prevazuta la alin. (7). Notificarea se va transmite in termen de 15 zile de la intrarea in vigoare a actului normativ care instituie obligatia respectiva si va cuprinde numai urmatoarele elemente:
   a) denumirea si sediul operatorului;
   b) scopul si temeiul legal al prelucrarii;
   c) categoriile de date cu caracter personal supuse prelucrarii.
   (9) Autoritatea de supraveghere poate stabili si alte situatii in care notificarea nu este necesara, in afara celei prevazute la alin. (2), sau situatii in care notificarea se poate efectua intr-o forma simplificata, precum si continutul acesteia, numai in unul dintre urmatoarele cazuri:
   a) atunci cand, luand in considerare natura datelor destinate sa fie prelucrate, prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor vizate, cu conditia sa precizeze expres scopurile in care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari carora datele le pot fi dezvaluite si perioada pentru care datele pot fi stocate;
   b) atunci cand prelucrarea se efectueaza in conditiile art. 7 alin. (2) lit. d).

   
Punere in aplicare prin Decizie 91/2006 :
Art. 1. -
Notificarea prelucrarii datelor cu caracter personal nu este necesara in urmatoarele cazuri:
a) cand prelucrarea datelor cu caracter personal referitoare la petitionari este efectuata de autoritatile si institutiile publice centrale si locale, serviciile publice descentralizate ale ministerelor si ale celorlalte organe centrale, companiile si societatile nationale, societatile comerciale de interes judetean sau local si regiile autonome, in vederea indeplinirii unor obligatii legale;
b) cand prelucrarea datelor cu caracter personal referitoare la propriii angajati si la colaboratorii externi este efectuata de entitatile de drept public si de drept privat, in vederea indeplinirii unor obligatii legale;
c) cand prelucrarea datelor cu caracter personal referitoare la proprietarii sau chiriasii unui imobil folosit in comun este efectuata de catre asociatiile de proprietari sau de locatari, in exercitarea drepturilor si obligatiilor stabilite prin lege, in scopul administrarii acelui imobil.
    ___________
    Pus in aplicare prin Decizie nr. 28/2007 incepand cu 16.03.2007.

   
Controlul prealabil

   Art. 23. - (1) Autoritatea de supraveghere va stabili categoriile de operatiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor.
    ___________
    Pus in aplicare prin Decizie nr. 11/2009 incepand cu 12.03.2009.

   (2) Daca pe baza notificarii autoritatea de supraveghere constata ca prelucrarea se incadreaza in una dintre categoriile mentionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil inceperii prelucrarii respective, cu anuntarea operatorului.
   (3) Operatorii care nu au fost anuntati in termen de 5 zile de la data notificarii despre efectuarea unui control prealabil pot incepe prelucrarea.
   (4) In situatia prevazuta la alin. (2) autoritatea de supraveghere este obligata ca, in termen de cel mult 30 de zile de la data notificarii, sa aduca la cunostinta operatorului rezultatul controlului efectuat, precum si decizia emisa in urma acestuia.

   
Registrul de evidenta a prelucrarilor de date cu caracter personal

   Art. 24. - (1) Autoritatea de supraveghere pastreaza un registru de evidenta a prelucrarilor de date cu caracter personal, notificate in conformitate cu prevederile art. 22. Registrul va cuprinde toate informatiile prevazute la art. 22 alin. (3).
   (2) Fiecare operator primeste un numar de inregistrare. Numarul de inregistrare trebuie mentionat pe orice act prin care datele sunt colectate, stocate sau dezvaluite.
    ___________
    Pus in aplicare prin Ordin nr. 2151/2011 incepand cu 03.06.2011.

   (3) Orice schimbare de natura sa afecteze exactitatea informatiilor inregistrate va fi comunicata autoritatii de supraveghere in termen de 5 zile. Autoritatea de supraveghere va dispune de indata efectuarea mentiunilor corespunzatoare in registru.
   (4) Activitatile de prelucrare a datelor cu caracter personal, incepute anterior intrarii in vigoare a prezentei legi, vor fi notificate in vederea inregistrarii in termen de 15 zile de la data intrarii in vigoare a prezentei legi.
   (5) Registrul de evidenta a prelucrarilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileste de autoritatea de supraveghere.

   
Plangeri adresate autoritatii de supraveghere

   Art. 25. - (1) In vederea apararii drepturilor prevazute de prezenta lege persoanele ale caror date cu caracter personal fac obiectul unei prelucrari care cade sub incidenta prezentei legi pot inainta plangere catre autoritatea de supraveghere. Plangerea se poate face direct sau prin reprezentant. Persoana lezata poate imputernici o asociatie sau o fundatie sa ii reprezinte interesele.
   (2) Plangerea catre autoritatea de supraveghere nu poate fi inaintata daca o cerere in justitie, avand acelasi obiect si aceleasi parti, a fost introdusa anterior.
   (3) In afara cazurilor in care o intarziere ar cauza un prejudiciu iminent si ireparabil, plangerea catre autoritatea de supraveghere nu poate fi inaintata mai devreme de 15 zile de la inaintarea unei plangeri cu acelasi continut catre operator.
   (4) In vederea solutionarii plangerii, daca apreciaza ca este necesar, autoritatea de supraveghere poate audia persoana vizata, operatorul si, daca este cazul, persoana imputernicita sau asociatia ori fundatia care reprezinta interesele persoanei vizate. Aceste persoane au dreptul de a inainta cereri, documente si memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
   (5) Daca plangerea este gasita intemeiata, autoritatea de supraveghere poate decide oricare dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdictia temporara a prelucrarii poate fi instituita numai pana la incetarea motivelor care au determinat luarea acestei masuri.
   (6) Decizia trebuie motivata si se comunica partilor interesate in termen de 30 de zile de la data primirii plangerii.
   (7) Autoritatea de supraveghere poate ordona, daca apreciaza necesar, suspendarea unora sau tuturor operatiunilor de prelucrare pana la solutionarea plangerii in conditiile alin. (5).
   (8) Autoritatea de supraveghere se poate adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege persoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucuresti. Cererea de chemare in judecata este scutita de taxa de timbru.
   (9) La cererea persoanelor vizate, pentru motive intemeiate, instanta poate dispune suspendarea prelucrarii pana la solutionarea plangerii de catre autoritatea de supraveghere.
   (10) Prevederile alin. (4)-(9) se aplica in mod corespunzator si in situatia in care autoritatea de supraveghere afla pe orice alta cale despre savarsirea unei incalcari a drepturilor recunoscute de prezenta lege persoanelor vizate.

   
Contestarea deciziilor autoritatii de supraveghere

   Art. 26. - (1) Impotriva oricarei decizii emise de autoritatea de supraveghere in temeiul dispozitiilor prezentei legi operatorul sau persoana vizata poate formula contestatie in termen de 15 zile de la comunicare, sub sanctiunea decaderii, la instanta de contencios administrativ competenta. Cererea se judeca de urgenta, cu citarea partilor. Solutia este definitiva si irevocabila.
   (2) Fac exceptie de la prevederile alin. (1), precum si de la cele ale art. 23 si 25 prelucrarile de date cu caracter personal, efectuate in cadrul activitatilor prevazute la art. 2 alin. (5).

   
Exercitarea atributiilor de investigare

   Art. 27. - (1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plangeri, orice incalcare a drepturilor persoanelor vizate, respectiv a obligatiilor care revin operatorilor si, dupa caz, persoanelor imputernicite, in cadrul efectuarii prelucrarilor de date cu caracter personal, in scopul apararii drepturilor si libertatilor fundamentale ale persoanelor vizate.
   (2) Atributiile de investigare nu pot fi exercitate de catre autoritatea de supraveghere in cazul in care o cerere in justitie introdusa anterior are ca obiect savarsirea aceleiasi incalcari a drepturilor si opune aceleasi parti.
   (3) In exercitarea atributiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informatii legate de prelucrarea datelor cu caracter personal si poate verifica orice document sau inregistrare referitoare la prelucrarea de date cu caracter personal.
   (4) Secretul de stat si secretul profesional nu pot fi invocate pentru a impiedica exercitarea atributiilor acordate prin prezenta lege autoritatii de supraveghere. Atunci cand este invocata protectia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligatia de a pastra secretul.
   (5) Abrogat prin punctul 4. din Lege nr. 102/2005 incepand cu 12.05.2005.
   
Norme de conduita

   Art. 28. - (1) Asociatiile profesionale au obligatia de a elabora si de a supune spre avizare autoritatii de supraveghere coduri de conduita care sa contina norme adecvate pentru protectia drepturilor persoanelor ale caror date cu caracter personal pot fi prelucrate de catre membrii acestora.
   (2) Normele de conduita trebuie sa prevada masuri si proceduri care sa asigure un nivel satisfacator de protectie, tinand seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune masuri si proceduri specifice pentru perioada in care normele de conduita la care s-a facut referire anterior nu sunt adoptate.

   
Punere in aplicare prin Ordin 75/2002 :
ANEXA Nr. 1
MASURI SI PROCEDURI
specifice pentru asigurarea unui nivel satisfacator de protectie
a drepturilor persoanelor ale caror date cu caracter
personal fac obiectul prelucrarilor
Scopul si sfera de aplicare
Art. 1. -
(1) Prezentele masuri si proceduri au ca scop asigurarea unui nivel satisfacator de protectie a datelor cu caracter personal, prelucrate de catre membrii asociatiilor profesionale, prin stabilirea modalitatilor de exercitare a drepturilor si obligatiilor care revin membrilor asociatiilor profesionale in domeniul protectiei persoanelor, in privinta datelor cu caracter personal, in relatiile asociatiilor profesionale cu persoanele vizate (in calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociatii profesionale, precum si cu alte persoane fizice sau juridice care nu fac parte din asociatiile profesionale.
(2) Aceste masuri si proceduri se aplica, in perioada in care nu sunt adoptate codurile de conduita, de catre asociatiile profesionale, oricaror operatiuni prin care membrii asociatiilor profesionale prelucreaza datele cu caracter personal.
(3) Prezentele masuri si proceduri nu aduc atingere altor obligatii legale imperative sau deontologice care revin asociatiilor profesionale.
(4) Prezentele masuri si proceduri sunt aplicabile tuturor asociatiilor profesionale din Romania.
Definirea termenilor
Art. 2. -
(1) Termenii folositi la stabilirea prezentelor masuri si proceduri au urmatorul sens:
a) asociatii profesionale - forme organizatorice ale entitatilor de drept privat constituite pe criterii profesionale;
b) persoana vizata - persoana fizica ale carei date cu caracter personal sunt prelucrate;
c) a colecta - a strange, a aduna, a primi date cu caracter personal prin orice mijloace si din orice sursa;
d) a dezvalui - a transmite, a disemina, a face disponibile in orice alt mod date cu caracter personal, in afara operatorului;
e) a utiliza - a se folosi datele cu caracter personal de catre si in interiorul operatorului;
f) consimtamant - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie sa fie intotdeauna expres si neechivoc;
g) nivel de protectie si de securitate adecvat al prelucrarilor de date cu caracter personal - nivelul de securitate proportional riscului, pe care il comporta prelucrarea fata de datele cu caracter personal respective si fata de drepturile si libertatile persoanelor si conform cerintelor minime de securitate a prelucrarilor de date cu caracter personal, elaborate de autoritatea de supraveghere si actualizate corespunzator stadiului dezvoltarii tehnologice si costurilor implementarii acestor masuri;
h) marketing direct - promovarea produselor si a serviciilor, adresata direct clientilor, persoane fizice, prin mijloace de genul postei, inclusiv cea electronica, sau alte mijloace de marketing la distanta, altele decat modalitatile promotionale obisnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, tert, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de interventie, dreptul de opozitie au sensurile definite de Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul telecomunicatiilor, precum si de Legea nr. 682/2001 privind ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981.
Legalitatea si transparenta
Art. 3. -
(1) Membrii asociatiilor profesionale, denumiti in continuare membri, recunosc si respecta dreptul la viata intima, familiala si privata.
(2) Prelucrarea datelor cu caracter personal de catre membri se desfasoara in conformitate cu prevederile legale in vigoare.
(3) Membrii sunt obligati sa asigure transparenta prelucrarilor de date cu caracter personal.
Responsabilitatea
Art. 4. -
(1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum si pentru datele transferate catre terti.
(2) Fiecare membru va desemna persoanele care vor raspunde pentru respectarea dispozitiilor legale din domeniul protectiei persoanelor si a datelor cu caracter personal.
Legitimitatea scopului colectarii
Art. 5. -
(1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisa.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie inainte, fie cel mai tarziu la momentul colectarii.
(3) Mentionarea scopurilor poate fi realizata in scris, oral sau in forma electronica, intr-un limbaj usor accesibil pentru persoanele vizate.
Consimtamantul
Art. 6. -
(1) Consimtamantul persoanelor vizate este cerut in cazul prelucrarii datelor cu caracter personal, in afara cazurilor in care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri financiare rezonabile, pentru a informa persoanele vizate in legatura cu prelucrarea datelor cu caracter personal si pentru a solicita consimtamantul acestora la momentul colectarii datelor cu caracter personal.
(3) Persoana vizata isi poate retrage consimtamantul in orice moment, sub conditia avizarii prealabile a operatorului. Acesta va informa persoana vizata in legatura cu procedura si efectele retragerii consimtamantului.
Legitimitatea dezvaluirii
Art. 7. -
(1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu exceptia cazului in care persoana vizata isi da consimtamantul pentru prelucrarea in alte scopuri sau in alte cazuri permise de lege.
(2) Accesul la datele prelucrate va fi permis numai angajatilor membrilor, in indeplinirea obligatiilor de serviciu.
Legitimitatea stocarii
Art. 8. -
(1) Membrii sunt obligati sa pastreze datele cu caracter personal exacte, complete si actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2) Datele inexacte sau incomplete vor fi sterse sau rectificate.
(3) Datele cu caracter personal vor fi pastrate numai pentru perioada necesara atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale in privinta stabilirii perioadei minime si maxime necesare pentru pastrarea datelor colectate, urmarind totodata respectarea drepturilor persoanei vizate, in special a dreptului de acces, de interventie si de opozitie.
(5) In urma verificarilor periodice datele cu caracter personal detinute de operator, care nu mai servesc realizarii scopurilor sau indeplinirii unor obligatii legale, vor fi distruse sau transformate in date anonime intr-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, in lipsa unor astfel de dispozitii legale, de catre membri.
Securitatea prelucrarilor
Art. 9. -
Membrii sunt obligati sa ia masurile tehnice si organizatorice necesare pentru asigurarea unui nivel de protectie si de securitate adecvat, in cadrul operatiunilor efectuate asupra datelor cu caracter personal, in urmatoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor in afara locurilor in care sunt gestionate; in general, pentru a impiedica orice circulatie necontrolata a datelor.
Dreptul de informare
Art. 10. -
(1) Strategiile si procedurile folosite de membri in legatura cu procesarea datelor cu caracter personal vor fi puse la dispozitie persoanelor vizate, sub forma de informatii furnizate intr-un limbaj accesibil, prin mijloace fizice (de exemplu, prin brosuri), telefonice sau electronice.
(2) Membrii vor comunica informatii, la cerere, in legatura cu datele cu caracter personal pe care le prelucreaza, sursele din care au colectat datele cu caracter personal, scopurile prelucrarii, daca si carui tert i-au fost dezvaluite aceste date, atunci cand legea nu interzice.
(3) In cazul in care dezvaluirea datelor este impusa de lege (de exemplu, in vederea executarii unei hotarari judecatoresti), membrii se vor asigura ca tertul care solicita dezvaluirea actioneaza in conformitate cu dispozitiile legale incidente, iar cererea priveste numai datele cu caracter personal neexcesive prin raportare la scopul prelucrarii. Persoana vizata va fi informata in legatura cu dezvaluirea, numai daca legea permite.
(4) Aducerea la cunostinta persoanelor vizate a drepturilor de care beneficiaza (in special, drepturile prevazute la art. 12-15 din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date) se poate face prin intermediul unor mentiuni inscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu: factura, borderou de livrare, confirmare de primire etc.), pe prospectele care contin si chestionare etc.
Dreptul de acces
Art. 11. -
(1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispozitie, in mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu exceptia cazurilor prevazute de lege, in urmatoarele situatii: in cazul in care sunt solicitate date despre o alta persoana; in cazul in care ar putea fi afectate viata si siguranta altei persoane; in cazul in care sunt solicitate date care pot privi informatii comerciale confidentiale; in cazul in care s-ar aduce atingere solutionarii unui litigiu sau a unui proces penal.
(3) Membrii sunt obligati sa motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de interventie
Art. 12. -
(1) Persoanele vizate au dreptul de a solicita verificarea exactitatii si a caracterului complet al datelor cu caracter personal care le privesc, precum si de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestatii.
(2) Membrii vor pastra o evidenta a contestatiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar in cazul in care datele vor fi transferate catre alti operatori, vor fi precizate datele care au fost rectificate sau in privinta carora exista contestatii nerezolvate.
(3) Dispozitiile alin. (2) se aplica si in cazul dezvaluirii de date catre terti, daca este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informatiilor transmise de persoanele vizate, precum si prin informatiile furnizate de orice sursa externa autorizata de lege.
Dreptul de opozitie
Art. 13. -
(1) Exercitarea de catre persoana vizata a dreptului de opozitie impotriva prelucrarii datelor cu caracter personal, in efectuarea operatiunilor de marketing direct, este asigurata prin intermediul formularii unor cereri in acest sens sau prin includerea in listele de opozitie a persoanelor vizate. Persoana vizata va fi incunostintata de existenta listelor de opozitie, precum si de modalitatea de a solicita includerea in acestea.
(2) Persoanele vizate isi pot exercita dreptul de opozitie in orice moment, de preferinta intr-un termen rezonabil acordat de operator, fara a se aduce atingere posibilitatii ca dreptul sa fie exercitat si in afara acestui termen.
(3) Listele de opozitie sunt gestionate de asociatiile profesionale.
(4) In cazul prelucrarilor ulterioare, precum si al transferului catre alti operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi sterse datele sau dreptul de opozitie la transferul acestora.
Legitimitatea transferului
Art. 14. -
(1) In cazul transferului de date cu caracter personal catre alti operatori, in special in operatiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin inscrierea unor mentiuni pe ofertele de produse sau servicii.
(2) Mentiunile prevazute la alin. (1) vor cuprinde si specificarea dreptului de opozitie la transferul datelor, precum si metoda prin care persoanele vizate isi pot exercita acest drept.
(3) Garantiile pentru asigurarea protectiei datelor cu caracter personal in cadrul transferului de date catre alti operatori vor fi prevazute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor mentiona, printre altele, drepturile recunoscute persoanelor vizate, precum si faptul ca aceste drepturi pot fi exercitate doar cu respectarea confidentialitatii anumitor clauze comerciale.
Solutionarea plangerilor
Art. 15. -
(1) Membrii sunt obligati sa rezolve plangerile si orice alte cereri legate de prelucrarea datelor cu caracter personal, in termenele si conditiile prevazute de lege.
(2) Procedura de primire, investigare si de solutionare a plangerilor si a celorlalte cereri ale persoanelor vizate va fi stabilita de catre membri si va fi adusa la cunostinta persoanelor vizate.
Colaborarea cu autoritatea de supraveghere
Art. 16. -
(1) Anual sau ori de cate ori se va solicita membrii vor prezenta autoritatii de supraveghere a prelucrarilor de date cu caracter personal rapoarte sau sinteze cu privire la plangerile primite si la modul de solutionare a acestora.
(2) Rapoartele si sintezele la care se refera alin. (1) vor putea contine si alte informatii privind aspecte din activitatea membrilor in domeniul protectiei datelor cu caracter personal, precum si propuneri de imbunatatire a activitatii acestora.
Cheltuielile suportate de catre persoanele vizate
Art. 17. -
Membrii vor lua masuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevazute de lege si de codurile de conduita, cheltuieli care sunt in sarcina persoanei vizate, cu exceptia cazului in care aceste drepturi pot fi exercitate in mod gratuit.
ANEXA Nr. 2
MODEL DE COD DE CONDUITA
Preambul
Luand in considerare importanta deosebita a garantarii dreptului la viata intima, familiala si privata, asa cum este prevazut la art. 26 din Constitutia Romaniei,
tinand seama de necesitatea protejarii acestui drept fundamental in cadrul activitatilor de prelucrare a datelor cu caracter personal, reglementate prin Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, prin Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul telecomunicatiilor, precum si prin Legea nr. 682/2001 privind ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981,
avand in vedere dispozitiile art. 28 alin. (1) din Legea nr. 677/2001, potrivit carora asociatiile profesionale au obligatia de a elabora si de a supune spre avizare autoritatii de supraveghere coduri de conduita care sa contina norme adecvate pentru protectia drepturilor persoanelor ale caror date cu caracter personal pot fi prelucrate de catre membrii acestora,
tinand seama ca asociatiile profesionale, prin activitatea desfasurata de membrii lor, prelucreaza date cu caracter personal, pentru protectia carora este necesara adoptarea unor coduri de conduita,
propunem asociatiilor profesionale urmatorul model de cod de conduita:
CAPITOLUL I Dispozitii generale
Scopul si sfera de aplicare
Art. 1. -
(1) Prezentul model de cod de conduita are ca scop stabilirea unor norme de conduita pentru asigurarea unui nivel satisfacator de protectie a datelor cu caracter personal prelucrate de catre membrii asociatiilor profesionale.
(2) Normele de conduita stabilesc exercitarea drepturilor si obligatiilor care revin membrilor asociatiilor profesionale in domeniul protectiei persoanelor in privinta datelor cu caracter personal, in relatiile asociatiilor profesionale cu persoanele vizate (in calitate de beneficiari ai serviciilor prestate, de utilizatori etc.), cu alte asociatii profesionale, precum si cu alte persoane fizice sau juridice care nu fac parte din asociatiile profesionale.
(3) Prezentul model de cod de conduita se aplica indiferent de operatiunea prin care membrii asociatiilor profesionale prelucreaza datele cu caracter personal.
(4) Normele cuprinse in prezentul model de cod de conduita nu aduc atingere altor obligatii legale imperative sau deontologice care revin asociatiilor profesionale.
(5) Prezentul model de cod de conduita contine norme de conduita aplicabile tuturor asociatiilor profesionale din Romania.
Definirea termenilor
Art. 2. -
(1) Termenii folositi in prezentul model de cod de conduita au urmatorul sens:
a) asociatii profesionale - forme organizatorice ale entitatilor de drept privat constituite pe criterii profesionale;
b) persoana vizata - persoana fizica ale carei date cu caracter personal sunt prelucrate;
c) a colecta - a strange, a aduna, a primi date cu caracter personal prin orice mijloace si din orice sursa;
d) a dezvalui - a transmite, a disemina, a face disponibile in orice alt mod date cu caracter personal, in afara operatorului;
e) a utiliza - a se folosi datele cu caracter personal de catre si in interiorul operatorului;
f) consimtamant - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie sa fie intotdeauna expres si neechivoc;
g) nivel de protectie si de securitate adecvat al prelucrarilor de date cu caracter personal - nivelul de securitate proportional riscului, pe care il comporta prelucrarea fata de datele cu caracter personal respective si fata de drepturile si libertatile persoanelor si conform cerintelor minime de securitate a prelucrarilor de date cu caracter personal, elaborate de autoritatea de supraveghere si actualizate corespunzator stadiului dezvoltarii tehnologice si costurilor implementarii acestor masuri;
h) marketing direct - promovarea produselor si a serviciilor, adresata direct clientilor, persoane fizice, prin mijloace de genul postei, inclusiv cea electronica, sau alte mijloace de marketing la distanta, altele decat modalitatile promotionale obisnuite (reclame).
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, tert, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de interventie, dreptul de opozitie au sensurile definite de Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, de Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul telecomunicatiilor, precum si de Legea nr. 682/2001 privind ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981.
Adoptarea codurilor de conduita
Art. 3. -
(1) Asociatiile profesionale vor elabora propriile coduri de conduita, cu respectarea principiilor din prezentul model de cod de conduita. Codurile de conduita vor contine norme adecvate care sa reglementeze masuri specifice domeniului de activitate al asociatiei respective, pentru aplicarea eficienta a principiilor din prezentul model de cod de conduita.
(2) Codurile de conduita care vor fi adoptate de asociatiile profesionale vor putea fi revizuite periodic, in functie de modificarile si completarile legislative aplicabile, precum si de nivelul de dezvoltare tehnologica in domeniul de activitate al fiecarei asociatii.
(3) Asociatiile profesionale vor supune codurile de conduita spre avizare autoritatii de supraveghere.
Cadrul legal al codurilor de conduita
Art. 4. -
In vederea elaborarii codurilor de conduita de catre asociatiile profesionale pe baza prezentului model de cod de conduita, vor fi respectate dispozitiile legale referitoare la protectia dreptului la viata intima, familiala si privata, in ceea ce priveste prelucrarea datelor cu caracter personal. Se vor avea in vedere in mod special dispozitiile Legii nr. 676/2001, ale Legii nr. 677/2001, precum si ale Legii nr. 682/2001.
CAPITOLUL II Principiile prelucrarilor de date cu caracter personal
efectuate de catre membrii asociatiilor profesionale
Legalitatea si transparenta
Art. 5. -
(1) Membrii asociatiilor profesionale, denumiti in continuare membri, recunosc si respecta dreptul la viata intima, familiala si privata.
(2) Prelucrarea datelor cu caracter personal de catre membri se desfasoara in conformitate cu prevederile legale in vigoare.
(3) Membrii sunt obligati sa asigure transparenta prelucrarilor de date cu caracter personal.
Responsabilitatea
Art. 6. -
(1) Membrii sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum si pentru datele transferate catre terti.
(2) Fiecare membru va desemna persoanele care vor raspunde pentru respectarea dispozitiilor legale din domeniul protectiei persoanelor si a datelor cu caracter personal, precum si a principiilor prevazute in prezentul model de cod de conduita.
Legitimitatea scopului colectarii
Art. 7. -
(1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisa.
(2) Membrii vor comunica scopurile pentru care sunt colectate datele cu caracter personal fie inainte, fie cel mai tarziu la momentul colectarii.
(3) Mentionarea scopurilor poate fi realizata in scris, oral sau in forma electronica, intr-un limbaj usor accesibil pentru persoanele vizate.
Consimtamantul
Art. 8. -
(1) Consimtamantul persoanelor vizate este cerut in cazul prelucrarii datelor cu caracter personal, in afara cazurilor in care legea dispune altfel.
(2) Membrii vor folosi orice mijloace nedolosive, care necesita costuri financiare rezonabile, pentru a informa persoanele vizate in legatura cu prelucrarea datelor cu caracter personal si pentru a solicita consimtamantul acestora la momentul colectarii datelor cu caracter personal.
(3) Persoana vizata isi poate retrage consimtamantul in orice moment, sub conditia avizarii prealabile a operatorului. Acesta va informa persoana vizata in legatura cu procedura si efectele retragerii consimtamantului.
Legitimitatea dezvaluirii
Art. 9. -
(1) Membrii vor prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu exceptia cazului in care persoana vizata isi da consimtamantul pentru prelucrarea in alte scopuri sau in alte cazuri permise de lege.
(2) Accesul la datele prelucrate va fi permis numai angajatilor membrilor, in indeplinirea obligatiilor de serviciu.
Legitimitatea stocarii
Art. 10. -
(1) Membrii sunt obligati sa pastreze datele cu caracter personal exacte, complete si actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2) Datele inexacte sau incomplete vor fi sterse sau rectificate.
(3) Datele cu caracter personal vor fi pastrate numai pentru perioada necesara atingerii scopurilor stabilite.
(4) Membrii vor adopta reguli speciale in privinta stabilirii perioadei minime si maxime necesare pentru pastrarea datelor colectate, urmarind totodata respectarea drepturilor persoanei vizate, in special a dreptului de acces, de interventie si de opozitie.
(5) In urma verificarilor periodice datele cu caracter personal detinute de operator, care nu mai servesc realizarii scopurilor sau indeplinirii unor obligatii legale, vor fi distruse sau transformate in date anonime intr-un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, in lipsa unor astfel de dispozitii legale, de catre membri.
Securitatea prelucrarilor
Art. 11. -
Membrii sunt obligati sa ia masurile tehnice si organizatorice necesare pentru asigurarea unui nivel de protectie si de securitate adecvat, in cadrul operatiunilor efectuate asupra datelor cu caracter personal, in urmatoarele scopuri: pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate; pentru a interzice copierea datelor in afara locurilor in care sunt gestionate; in general, pentru a impiedica orice circulatie necontrolata a datelor.
Dreptul de informare
Art. 12. -
(1) Strategiile si procedurile folosite de membri in legatura cu procesarea datelor cu caracter personal vor fi puse la dispozitie persoanelor vizate, sub forma de informatii furnizate intr-un limbaj accesibil, prin mijloace fizice (de exemplu, prin brosuri), telefonice sau electronice.
(2) Membrii vor comunica informatii, la cerere, in legatura cu datele cu caracter personal, pe care le prelucreaza, sursele din care au colectat datele cu caracter personal, scopurile prelucrarii, daca si carui tert i-au fost dezvaluite aceste date, atunci cand legea nu interzice.
(3) In cazul in care dezvaluirea datelor este impusa de lege (de exemplu, in vederea executarii unei hotarari judecatoresti), membrii se vor asigura ca tertul care solicita dezvaluirea actioneaza in conformitate cu dispozitiile legale incidente, iar cererea priveste numai datele cu caracter personal neexcesive prin raportare la scopul prelucrarii. Persoana vizata va fi informata in legatura cu dezvaluirea, numai daca legea permite.
(4) Aducerea la cunostinta persoanelor vizate a drepturilor de care beneficiaza (in special, drepturile prevazute la art. 12-15 din Legea nr. 677/2001) se poate face prin intermediul unor mentiuni inscrise pe ofertele de produse sau servicii, pe primul document adresat persoanei vizate (de exemplu, factura, borderou de livrare, confirmare de primire etc.), pe prospectele care contin si chestionare etc.
Dreptul de acces
Art. 13. -
(1) Membrii vor permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispozitie, in mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu exceptia cazurilor prevazute de lege, in urmatoarele situatii: in cazul in care sunt solicitate date despre o alta persoana; in cazul in care ar putea fi afectate viata si siguranta altei persoane; in cazul in care sunt solicitate date care pot privi informatii comerciale confidentiale; in cazul in care s-ar aduce atingere solutionarii unui litigiu sau a unui proces penal.
(3) Membrii sunt obligati sa motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de interventie
Art. 14. -
(1) Persoanele vizate au dreptul de a solicita verificarea exactitatii si a caracterului complet al datelor cu caracter personal care le privesc, precum si de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestatii.
(2) Membrii vor pastra o evidenta a contestatiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar in cazul in care datele vor fi transferate catre alti operatori, vor fi precizate datele care au fost rectificate sau in privinta carora exista contestatii nerezolvate.
(3) Dispozitiile alin. (2) se aplica si in cazul dezvaluirii de date catre terti, daca este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informatiilor transmise de persoanele vizate, precum si prin informatiile furnizate de orice sursa externa autorizata de lege.
Dreptul de opozitie
Art. 15. -
(1) Exercitarea de catre persoana vizata a dreptului de opozitie impotriva prelucrarii datelor cu caracter personal, in efectuarea operatiunilor de marketing direct, este asigurata prin intermediul formularii unor cereri in acest sens sau prin includerea in listele de opozitie a persoanelor vizate. Persoana vizata va fi incunostintata de existenta listelor de opozitie, precum si de modalitatea de a solicita includerea in acestea.
(2) Persoanele vizate isi pot exercita dreptul de opozitie in orice moment, de preferinta intr-un termen rezonabil acordat de operator, fara a se aduce atingere posibilitatii ca dreptul sa fie exercitat si in afara acestui termen.
(3) Listele de opozitie sunt gestionate de asociatiile profesionale.
(4) In cazul prelucrarilor ulterioare, precum si al transferului catre alti operatori al datelor cu caracter personal, membrii se vor asigura ca acestea nu privesc date pentru care persoanele vizate au exercitat anterior dreptul de a le fi sterse datele sau dreptul de opozitie la transferul acestora.
Legitimitatea transferului
Art. 16. -
(1) In cazul transferului de date cu caracter personal catre alti operatori, in special in operatiunile de marketing direct, persoanele vizate vor fi informate cu privire la transfer prin inscrierea unor mentiuni pe ofertele de produse sau servicii.
(2) Mentiunile prevazute la alin. (1) vor cuprinde si specificarea dreptului de opozitie la transferul datelor, precum si metoda prin care persoanele vizate isi pot exercita acest drept.
(3) Garantiile pentru asigurarea protectiei datelor cu caracter personal in cadrul transferului de date catre alti operatori vor fi prevazute prin clauze contractuale privind utilizarea acestor date, acolo unde este cazul. Aceste clauze vor mentiona, printre altele, drepturile recunoscute persoanelor vizate, precum si faptul ca aceste drepturi pot fi exercitate doar cu respectarea confidentialitatii anumitor clauze comerciale.
Solutionarea plangerilor
Art. 17. -
(1) Membrii sunt obligati sa rezolve plangerile si orice alte cereri legate de prelucrarea datelor cu caracter personal, in termenele si conditiile prevazute de lege.
(2) Procedura de primire, investigare si de solutionare a plangerilor si a celorlalte cereri ale persoanelor vizate va fi stabilita de catre membri si va fi adusa la cunostinta persoanelor vizate.
Colaborarea cu autoritatea de supraveghere
Art. 18. -
(1) Anual sau ori de cate ori se va solicita membrii vor prezenta autoritatii de supraveghere a prelucrarilor de date cu caracter personal rapoarte sau sinteze cu privire la plangerile primite si la modul de solutionare a acestora.
(2) Rapoartele si sintezele la care se refera alin. (1) vor putea contine si alte informatii privind aspecte din activitatea membrilor in domeniul protectiei datelor cu caracter personal, precum si propuneri de imbunatatire a activitatii acestora.
Cheltuielile suportate de catre persoanele vizate
Art. 19. -
Membrii vor lua masuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevazute de lege si de codurile de conduita, cheltuieli care sunt in sarcina persoanei vizate, cu exceptia cazului in care aceste drepturi pot fi exercitate in mod gratuit.
CAPITOLUL III Dispozitii finale si tranzitorii
Modul de aplicare
Art. 20. -
(1) Dispozitiile prezentului model de cod de conduita vor fi avute in vedere la adoptarea propriilor coduri de conduita de catre asociatiile profesionale care prelucreaza date cu caracter personal.
(2) Normele prezentului model de cod de conduita au caracter de recomandare.
(3) Prezentul model de cod de conduita se completeaza cu prevederile legale in domeniul protectiei datelor cu caracter personal.
Modificarea si completarea modelului de cod de conduita
Art. 21. -
(1) Membrii asociatiilor profesionale sau persoanele interesate pot propune modificari sau completari ale prezentului model de cod de conduita.
(2) Propunerile la care se refera alin. (1) vor fi trimise, in scris si motivat, autoritatii de supraveghere.
(3) Autoritatea de supraveghere va lua in considerare numai propunerile pertinente si concludente, in vederea modificarii si completarii prezentului model de cod de conduita.
   
CAPITOLUL VII

  Transferul in strainatate al datelor cu caracter personal

   
Conditiile transferului in strainatate al datelor cu caracter personal

   Art. 29. - (1) Transferul catre un alt stat de date cu caracter personal care fac obiectul unei prelucrari sau sunt destinate sa fie prelucrate dupa transfer poate avea loc numai in conditiile in care nu se incalca legea romana, iar statul catre care se intentioneaza transferul asigura un nivel de protectie adecvat.
   (2) Nivelul de protectie va fi apreciat de catre autoritatea de supraveghere, tinand seama de totalitatea imprejurarilor in care se realizeaza transferul de date, in special avand in vedere natura datelor transmise, scopul prelucrarii si durata propusa pentru prelucrare, statul de origine si statul de destinatie finala, precum si legislatia statului solicitant. In cazul in care autoritatea de supraveghere constata ca nivelul de protectie oferit de statul de destinatie este nesatisfacator, poate dispune interzicerea transferului de date.
   (3) In toate situatiile transferul de date cu caracter personal catre un alt stat va face obiectul unei notificari prealabile a autoritatii de supraveghere.
   (4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal catre un stat a carui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de legea romana atunci cand operatorul ofera garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sa fie stabilite prin contracte incheiate intre operatori si persoanele fizice sau juridice din dispozitia carora se efectueaza transferul.
    ___________
    Pus in aplicare prin Ordin nr. 6/2003 incepand cu 10.03.2003.

   
Punere in aplicare prin Decizie 10/2009 :
ANEXA
AUTORIZATIA
Nr. .... din ......................
pentru transferul in strainatate al datelor cu caracter personal in baza art. 29 alin. (4) din Legea nr. 677/2001 pentru protectia persoanelor
cu privire la prelucrarea datelor cu caracter personal si libera
circulatie a acestor date, cu modificarile si completarile ulterioare
In temeiul art. 21 alin. (3) lit. c), raportat la art. 29 alin. (4) din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare,
Avand in vedere:
- natura datelor cu caracter personal transmise:
..............................................................................................................................;
- scopul prelucrarii:
..............................................................................................................................;
- statul de destinatie:
..............................................................................................................................;
- garantiile pentru protectia drepturilor fundamentale ale persoanelor, stabilite prin contractul incheiat intre ........................1 si .........................2,
presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal
AUTORIZEAZA
Transferul de date cu caracter personal in ................................3, efectuat de ............................................................1, catre ........................................................................2, transfer notificat cu nr. ....................................................4.
Prezenta autorizatie nu exonereaza operatorul de indeplinirea celorlalte obligatii care ii revin potrivit Legii nr. 677/2001, cu modificarile si completarile ulterioare, inclusiv de obligatia de a se supune controlului efectuat de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
In conditiile legii, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal poate dispune orice masuri, in cazul in care constata incalcarea obligatiilor asumate de catre operator.
Presedintele Autoritatii Nationale de Supraveghere
a Prelucrarii Datelor cu Caracter Personal,
Georgeta Basarabescu
1 Se va mentiona numele/denumirea exportatorului de date.
2 Se va mentiona numele/denumirea importatorului de date.
3 Se va mentiona numele statului sau al statelor catre care se transfera datele cu caracter personal.
4 Se va mentiona numarul de inregistrare a notificarii din Registrul de evidenta a prelucrarilor de date cu caracter personal.
   (5) Prevederile alin. (2), (3) si (4) nu se aplica daca transferul datelor se face in baza prevederilor unei legi speciale sau ale unui acord international ratificat de Romania, in special daca transferul se face in scopul prevenirii, cercetarii sau reprimarii unei infractiuni.
   (6) Prevederile prezentului articol nu se aplica atunci cand prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice, daca datele au fost facute publice in mod manifest de catre persoana vizata sau sunt strans legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor in care este implicata.

    ___________
    Pus in aplicare prin Decizie nr. 28/2007 incepand cu 16.03.2007.

   
Situatii in care transferul este intotdeauna permis

   Art. 30. - Transferul de date este intotdeauna permis in urmatoarele situatii:
   a) cand persoana vizata si-a dat in mod explicit consimtamantul pentru efectuarea transferului; in cazul in care transferul de date se face in legatura cu oricare dintre datele prevazute la art. 7, 8 si 10, consimtamantul trebuie dat in scris;
   b) cand este necesar pentru executarea unui contract incheiat intre persoana vizata si operator sau pentru executarea unor masuri precontractuale dispuse la cererea pesoanei vizate;
   c) cand este necesar pentru incheierea sau pentru executarea unui contract incheiat ori care se va incheia, in interesul persoanei vizate, intre operator si un tert;
   d) cand este necesar pentru satisfacerea unui interes public major, precum apararea nationala, ordinea publica sau siguranta nationala, pentru buna desfasurare a procesului penal ori pentru constatarea, exercitarea sau apararea unui drept in justitie, cu conditia ca datele sa fie prelucrate in legatura cu acest scop si nu mai mult timp decat este necesar;
   e) cand este necesar pentru a proteja viata, integritatea fizica sau sanatatea persoanei vizate;
   f) cand intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informatii care pot fi obtinute din registre sau prin orice alte documente accesibile publicului.

    ___________
    Pus in aplicare prin Decizie nr. 28/2007 incepand cu 16.03.2007.

   
CAPITOLUL VIII

  Contraventii si sanctiuni

   
Omisiunea de a notifica si notificarea cu rea-credinta

   Art. 31. - Omisiunea de a efectua notificarea in conditiile art. 22 sau ale art. 29 alin. (3) in situatiile in care aceasta notificare este obligatorie, precum si notificarea incompleta sau care contine informatii false constituie contraventii, daca nu sunt savarsite in astfel de conditii incat sa constituie infractiuni, si se sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei.

   
Prelucrarea nelegala a datelor cu caracter personal

   Art. 32. - Prelucrarea datelor cu caracter personal de catre un operator sau de o persoana imputernicita de acesta, cu incalcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevazute la art. 12-15 sau la art. 17, constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000 lei.

   
Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate

   Art. 33. - Neindeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor, prevazute la art. 19 si 20, constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 15.000.000 lei la 500.000.000 lei.

   
Refuzul de a furniza informatii

   Art. 34. - Refuzul de a furniza autoritatii de supraveghere informatiile sau documentele cerute de aceasta in exercitarea atributiilor de investigare prevazute la art. 27 constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 150.000.000 lei.

   
Constatarea contraventiilor si aplicarea sanctiunilor

   Art. 35. - (1) Constatarea contraventiilor si aplicarea sanctiunilor se efectueaza de catre autoritatea de supraveghere, care poate delega aceste atributii unor persoane recrutate din randul personalului sau, precum si de reprezentanti imputerniciti ai organelor cu atributii de supraveghere si control, abilitate potrivit legii.
   (2) Dispozitiile prezentei legi referitoare la contraventii se completeaza cu prevederile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, in masura in care prezenta lege nu dispune altfel.
   (3) Impotriva proceselor-verbale de constatare si sanctionare se poate face plangere la sectiile de contencios administrativ ale tribunalelor.

   
CAPITOLUL IX

  Dispozitii finale

   
Intrarea in vigoare

   Art. 36. - Prezenta lege intra in vigoare la data publicarii ei in Monitorul Oficial al Romaniei, Partea I, si se pune in aplicare in termen de 3 luni de la intrarea sa in vigoare.

    Aceasta lege a fost adoptata de Senat in sedinta din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.

   

PRESEDINTELE SENATULUI
NICOLAE VACAROIU
    Aceasta lege a fost adoptata de Camera Deputatilor in sedinta din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.

   

PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU
    Bucuresti, 21 noiembrie 2001.
    Nr. 677.