LEGE nr. 677 din 21 noiembrie 2001 (*actualizata*)
pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date
(actualizata pana la data de 22 octombrie 2007*)

EMITENT:      PARLAMENTUL 
----------------
 
    *) Textul initial a fost publicat in MONITORUL OFICIAL nr. 790 din 12 decembrie 2001. Aceasta este forma actualizata de S.C. "Centrul Teritorial de Calcul Electronic" S.A. Piatra-Neamt pana la data de 22 octombrie 2007, cu modificarile si completarile aduse de: LEGEA nr. 102 din 3 mai 2005; LEGEA nr. 278 din 15 octombrie 2007.

Data Intrarii in vigoare: 22 Octombrie 2007
-------------------------------------------------------------------------

----------------
    *) Textul iniţial a fost publicat în MONITORUL OFICIAL nr. 790 din 12 decembrie 2001. Aceasta este forma actualizată de S.C. "Centrul Teritorial de Calcul Electronic" S.A. Piatra-Neamţ până la data de 22 octombrie 2007, cu modificările şi completările aduse de: LEGEA nr. 102 din 3 mai 2005; LEGEA nr. 278 din 15 octombrie 2007.

    Parlamentul României adopta prezenta lege.

     CAP. I
    Dispoziţii generale

    Scop
     ART. 1
    (1) Prezenta lege are ca scop garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intima, familială şi privată, cu privire la prelucrarea datelor cu caracter personal.
    (2) Exercitarea drepturilor prevăzute în prezenta lege nu poate fi restrânsă decât în cazuri expres şi limitativ prevăzute de lege.
    Domeniu de aplicare
     ART. 2
    (1) Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrării prin alte mijloace.decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse într-un asemenea sistem.
    (2) Prezenta lege se aplica:
    a) prelucrarilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori stabiliţi în România;
    b) prelucrarilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de misiunile diplomatice sau de oficiile consulare ale României;
    c) prelucrarilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori care nu sunt stabiliţi în România, prin utilizarea de mijloace de orice natura situate pe teritoriul României, cu excepţia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitarii pe teritoriul României a datelor cu caracter personal care fac obiectul prelucrarilor respective.
    (3) In cazul prevăzut la alin. (2) lit. c) operatorul îşi va desemna un reprezentant care trebuie sa fie o persoana stabilită în România. Prevederile prezentei legi aplicabile operatorului sunt aplicabile şi reprezentantului acestuia, fără a aduce atingere posibilitatii de a introduce acţiune în justiţie direct impotriva operatorului.
    (4) Prezenta lege se aplica prelucrarilor de date cu caracter personal efectuate de persoane fizice sau juridice, romane ori străine, de drept public sau de drept privat, indiferent dacă au loc în sectorul public sau în sectorul privat.
    (5) In limitele prevăzute de prezenta lege, aceasta se aplica şi prelucrarilor şi transferului de date cu caracter personal, efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege.
    (6) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, dacă datele în cauza nu sunt destinate a fi dezvăluite.
    (7) Prezenta lege nu se aplica prelucrarilor şi transferului de date cu caracter personal, efectuate în cadrul activităţilor în domeniul apărării naţionale şi siguranţei naţionale, desfăşurate în limitele şi cu restricţiile stabilite de lege.
    (8) Prevederile prezentei legi nu aduc atingere obligaţiilor asumate de România prin instrumente juridice ratificate.
    Definiţii
     ART. 3
    In înţelesul prezentei legi, următorii termeni se definesc după cum urmează:
    a) date cu caracter personal - orice informaţii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
    b) prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea către terţi prin transmitere, diseminare sau în orice alt mod, alaturarea ori combinarea, blocarea, ştergerea sau distrugerea;
    c) stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;
    d) sistem de evidenta a datelor cu caracter personal - orice structura organizată de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent dacă aceasta structura este organizată în mod centralizat ori descentralizat sau este repartizata după criterii functionale ori geografice;
    e) operator - orice persoana fizica sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizica sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ;
    f) persoana imputernicita de către operator - o persoana fizica sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;
    g) terţ - orice persoana fizica sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, alta decât persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei împuternicite, sunt autorizate sa prelucreze date;
    h) destinatar - orice persoana fizica sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia ii sunt dezvăluite date, indiferent dacă este sau nu terţ; autorităţile publice cărora li se comunica date în cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;
    i) date anonime - date care, datorită originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.

     CAP. II
    Reguli generale privind prelucrarea datelor cu caracter personal

    Caracteristicile datelor cu caracter personal în cadrul prelucrării
     ART. 4
    (1) Datele cu caracter personal destinate a face obiectul prelucrării trebuie sa fie:
    a) prelucrate cu buna-credinţa şi în conformitate cu dispoziţiile legale în vigoare;
    b) colectate în scopuri determinate, explicite şi legitime; prelucrarea ulterioara a datelor cu caracter personal în scopuri statistice, de cercetare istorica sau ştiinţifică nu va fi considerată incompatibilă cu scopul colectării dacă se efectuează cu respectarea dispoziţiilor prezentei legi, inclusiv a celor care privesc efectuarea notificării către autoritatea de supraveghere, precum şi cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute de normele care reglementează activitatea statistica ori cercetarea istorica sau ştiinţifică;
    c) adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate;
    d) exacte si, dacă este cazul, actualizate; în acest scop se vor lua măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate şi pentru care vor fi ulterior prelucrate, sa fie şterse sau rectificate;
    e) stocate într-o forma care sa permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decât cea menţionată, în scopuri statistice, de cercetare istorica sau ştiinţifică, se va face cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute în normele care reglementează aceste domenii, şi numai pentru perioada necesară realizării acestor scopuri.
    (2) Operatorii au obligaţia sa respecte prevederile alin. (1) şi sa asigure îndeplinirea acestor prevederi de către persoanele împuternicite.
    Condiţii de legitimitate privind prelucrarea datelor
     ART. 5
    (1) Orice prelucrare de date cu caracter personal, cu excepţia prelucrarilor care vizează date din categoriile menţionate la art. 7 alin. (1), art. 8 şi 10, poate fi efectuată numai dacă persoana vizata si-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare.
    (2) Consimţământul persoanei vizate nu este cerut în următoarele cazuri:
    a) când prelucrarea este necesară în vederea executării unui contract sau antecontract la care persoana vizata este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;
    b) când prelucrarea este necesară în vederea protejării vieţii, integrităţii fizice sau sănătăţii persoanei vizate ori a unei alte persoane amenintate;
    c) când prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale a operatorului;
    d) când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritate publica cu care este investit operatorul sau terţul căruia ii sunt dezvăluite datele;
    e) când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terţului căruia ii sunt dezvăluite datele, cu condiţia ca acest interes sa nu prejudicieze interesul sau drepturile şi libertăţile fundamentale ale persoanei vizate;
    f) când prelucrarea priveşte date obţinute din documente accesibile publicului, conform legii;
    g) când prelucrarea este făcuta exclusiv în scopuri statistice, de cercetare istorica sau ştiinţifică, iar datele rămân anonime pe toată durata prelucrării.
    (3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intima, familială şi privată.
    Încheierea operaţiunilor de prelucrare
     ART. 6
    (1) La încheierea operaţiunilor de prelucrare, dacă persoana vizata nu si-a dat în mod expres şi neechivoc consimţământul pentru o alta destinaţie sau pentru o prelucrare ulterioara, datele cu caracter personal vor fi:
    a) distruse;
    b) transferate unui alt operator, cu condiţia ca operatorul iniţial sa garanteze faptul ca prelucrările ulterioare au scopuri similare celor în care s-a făcut prelucrarea iniţială;
    c) transformate în date anonime şi stocate exclusiv în scopuri statistice, de cercetare istorica sau ştiinţifică.
    (2) In cazul operaţiunilor de prelucrare efectuate în condiţiile prevăzute la art. 5 alin. (2) lit. c) sau d), în cadrul activităţilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesară realizării scopurilor concrete urmărite, cu condiţia asigurării unor măsuri corespunzătoare de protejare a acestora, după care va proceda la distrugerea lor dacă nu sunt aplicabile prevederile legale privind păstrarea arhivelor.

     CAP. III
    Reguli speciale privind prelucrarea datelor cu caracter personal

    Prelucrarea unor categorii speciale de date
     ART. 7
    (1) Prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natura similară, de apartenenţa sindicala, precum şi a datelor cu caracter personal privind starea de sănătate sau viaţa sexuală este interzisă.
    (2) Prevederile alin. (1) nu se aplica în următoarele cazuri:
    a) când persoana vizata si-a dat în mod expres consimţământul pentru o astfel de prelucrare;
    b) când prelucrarea este necesară în scopul respectării obligaţiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garanţiilor prevăzute de lege; o eventuala dezvaluire către un terţ a datelor prelucrate poate fi efectuată numai dacă exista o obligaţie legală a operatorului în acest sens sau dacă persoana vizata a consimţit expres la aceasta dezvaluire;
    c) când prelucrarea este necesară pentru protecţia vieţii, integrităţii fizice sau a sănătăţii persoanei vizate ori a altei persoane, în cazul în care persoana vizata se afla în incapacitate fizica sau juridică de a-si da consimţământul;
    d) când prelucrarea este efectuată în cadrul activităţilor sale legitime de către o fundaţie, asociaţie sau de către orice alta organizaţie cu scop nelucrativ şi cu specific politic, filozofic, religios ori sindical, cu condiţia ca persoana vizata sa fie membra a acestei organizaţii sau sa întreţină cu aceasta, în mod regulat, relaţii care privesc specificul activităţii organizaţiei şi ca datele sa nu fie dezvăluite unor terţi fără consimţământul persoanei vizate;
    e) când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizata;
    f) când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiţie;
    g) când prelucrarea este necesară în scopuri de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sănătate care acţionează în interesul persoanei vizate, cu condiţia ca prelucrarea datelor respective sa fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional sau de către ori sub supravegherea unei alte persoane supuse unei obligaţii echivalente în ceea ce priveşte secretul;
    h) când legea prevede în mod expres aceasta în scopul protejării unui interes public important, cu condiţia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate şi a celorlalte garanţii prevăzute de prezenta lege.
    (3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intima, familială şi privată.
    (4) Autoritatea de supraveghere poate dispune, din motive întemeiate, interzicerea efectuării unei prelucrari de date din categoriile prevăzute la alin. (1), chiar dacă persoana vizata si-a dat în scris şi în mod neechivoc consimţământul, iar acest consimţământ nu a fost retras, cu condiţia ca interdicţia prevăzută la alin. (1) sa nu fie înlăturată prin unul dintre cazurile la care se referă alin. (2) lit. b)-g).
    Prelucrarea datelor cu caracter personal având funcţie de identificare
     ART. 8
    (1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă:
    a) persoana vizata si-a dat în mod expres consimţământul; sau
    b) prelucrarea este prevăzută în mod expres de o dispoziţie legală.
    (2) Autoritatea de supraveghere poate stabili şi alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
    Prelucrarea datelor cu caracter personal privind starea de sănătate
     ART. 9
    (1) In afară cazurilor prevăzute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplica în privinţa prelucrării datelor privind starea de sănătate în următoarele cazuri:
    a) dacă prelucrarea este necesară pentru protecţia sănătăţii publice;
    b) dacă prelucrarea este necesară pentru prevenirea unui pericol iminent, pentru prevenirea săvârşirii unei fapte penale sau pentru împiedicarea producerii rezultatului unei asemenea fapte ori pentru înlăturarea urmărilor prejudiciabile ale unei asemenea fapte.
    (2) Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical, cu condiţia respectării secretului profesional, cu excepţia situaţiei în care persoana vizata si-a dat în scris şi în mod neechivoc consimţământul atâta timp cat acest consimţământ nu a fost retras, precum şi cu excepţia situaţiei în care prelucrarea este necesară pentru prevenirea unui pericol iminent, pentru prevenirea săvârşirii unei fapte penale, pentru împiedicarea producerii rezultatului unei asemenea fapte sau pentru înlăturarea urmărilor sale prejudiciabile.
    (3) Cadrele medicale, instituţiile de sănătate şi personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sănătate, fără autorizaţia autorităţii de supraveghere, numai dacă prelucrarea este necesară pentru protejarea vieţii, integrităţii fizice sau sănătăţii persoanei vizate. Când scopurile menţionate se referă la alte persoane sau la public în general şi persoana vizata nu si-a dat consimţământul în scris şi în mod neechivoc, trebuie cerută şi obţinută în prealabil autorizaţia autorităţii de supraveghere. Prelucrarea datelor cu caracter personal în afară limitelor prevăzute în autorizaţie este interzisă.
    (4) Cu excepţia motivelor de urgenta, autorizaţia prevăzută la alin. (3) poate fi acordată numai după ce a fost consultat Colegiul Medicilor din România.
    (5) Datele cu caracter personal privind starea de sănătate pot fi colectate numai de la persoana vizata. Prin excepţie, aceste date pot fi colectate din alte surse numai în măsura în care este necesar pentru a nu compromite scopurile prelucrării, iar persoana vizata nu vrea ori nu le poate furniza.
    Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contravenţii
     ART. 10
    (1) Prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizata ori la condamnări penale, măsuri de siguranţa sau sancţiuni administrative ori contravenţionale, aplicate persoanei vizate, poate fi efectuată numai de către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege şi în condiţiile stabilite de legile speciale care reglementează aceste materii.
    (2) Autoritatea de supraveghere poate stabili şi alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
    (3) Un registru complet al condamnărilor penale poate fi ţinut numai sub controlul unei autorităţi publice, în limitele puterilor ce ii sunt conferite prin lege.
    Excepţii
     ART. 11
    Prevederile art. 5, 6, 7 şi 10 nu se aplica în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacă prelucrarea priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizata sau care sunt strâns legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor în care este implicata.

     CAP. IV
    Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal

    Informarea persoanei vizate
     ART. 12
    (1) In cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care aceasta persoana poseda deja informaţiile respective:
    a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;
    b) scopul în care se face prelucrarea datelor;
    c) informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza; existenta drepturilor prevăzute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;
    d) orice alte informaţii a căror furnizare este impusa prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.
    (2) In cazul în care datele nu sunt obţinute direct de la persoana vizata, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvaluirea acestora către terţi, cel mai târziu pana în momentul primei dezvaluiri, sa furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care persoana vizata poseda deja informaţiile respective:
    a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;
    b) scopul în care se face prelucrarea datelor;
    c) informaţii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevăzute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;
    d) orice alte informaţii a căror furnizare este impusa prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.
    (3) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
    (4) Prevederile alin. (2) nu se aplica în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorica sau ştiinţifică, ori în orice alte situaţii în care furnizarea unor asemenea informaţii se dovedeşte imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum şi în situaţiile în care înregistrarea sau dezvaluirea datelor este expres prevăzută de lege.
    Dreptul de acces la date
     ART. 13
    (1) Orice persoana vizata are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, împreună cu confirmarea, cel puţin următoarele:
    a) informaţii referitoare la scopurile prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;
    b) comunicarea într-o forma inteligibila a datelor care fac obiectul prelucrării, precum şi a oricărei informaţii disponibile cu privire la originea datelor;
    c) informaţii asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectiva;
    d) informaţii privind existenta dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot fi exercitate;
    e) informaţii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevăzut la art. 24, de a înainta plângere către autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului, în conformitate cu dispoziţiile prezentei legi.
    (2) Persoana vizata poate solicita de la operator informaţiile prevăzute la alin. (1), printr-o cerere întocmită în forma scrisă, datată şi semnată. In cerere solicitantul poate arata dacă doreşte ca informaţiile sa ii fie comunicate la o anumită adresa, care poate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
    (3) Operatorul este obligat sa comunice informaţiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
    (4) In cazul datelor cu caracter personal legate de starea de sănătate, cererea prevăzută la alin. (2) poate fi introdusă de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele căreia este introdusă. La cererea operatorului sau a persoanei vizate comunicarea prevăzută la alin. (3) poate fi făcuta prin intermediul unui cadru medical desemnat de persoana vizata.
    (5) In cazul în care datele cu caracter personal legate de starea de sănătate sunt prelucrate în scop de cercetare ştiinţifică, dacă nu exista, cel puţin aparent, riscul de a se aduce atingere drepturilor persoanei vizate şi dacă datele nu sunt utilizate pentru a lua decizii sau măsuri fata de o anumită persoana, comunicarea prevăzută la alin. (3) se poate face şi într-un termen mai mare decât cel prevăzut la acel alineat, în măsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetării, şi nu mai târziu de momentul în care cercetarea este încheiată. In acest caz persoana vizata trebuie sa îşi fi dat în mod expres şi neechivoc consimţământul ca datele sa fie prelucrate în scop de cercetare ştiinţifică, precum şi asupra posibilei amânări a comunicării prevăzute la alin. (3) din acest motiv.
    (6) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
    Dreptul de intervenţie asupra datelor
     ART. 14
    (1) Orice persoana vizata are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
    a) după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;
    b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;
    c) notificarea către terţii cărora le-au fost dezvăluite datele a oricărei operaţiuni efectuate conform lit. a) sau b), dacă aceasta notificare nu se dovedeşte imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat.
    (2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizata va înainta operatorului o cerere întocmită în forma scrisă, datată şi semnată. In cerere solicitantul poate arata dacă doreşte ca informaţiile sa ii fie comunicate la o anumită adresa, care poate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
    (3) Operatorul este obligat sa comunice măsurile luate în temeiul alin. (1), precum si, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
    Dreptul de opoziţie
     ART. 15
    (1) Persoana vizata are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează sa facă obiectul unei prelucrari, cu excepţia cazurilor în care exista dispoziţii legale contrare. In caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauza.
    (2) Persoana vizata are dreptul de a se opune în orice moment, în mod gratuit şi fără nici o justificare, ca datele care o vizează sa fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terţ, sau sa fie dezvăluite unor terţi într-un asemenea scop.
    (3) In vederea exercitării drepturilor prevăzute la alin. (1) şi (2) persoana vizata va înainta operatorului o cerere întocmită în forma scrisă, datată şi semnată. In cerere solicitantul poate arata dacă doreşte ca informaţiile sa ii fie comunicate la o anumită adresa, care poate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
    (4) Operatorul este obligat sa comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2), precum si, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).
    Excepţii
     ART. 16
    (1) Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se aplica în cazul activităţilor prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciata eficienta acţiunii sau obiectivul urmărit în îndeplinirea atribuţiilor legale ale autorităţii publice.
    (2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfăşurarea activităţilor menţionate la art. 2 alin. (5).
    (3) După încetarea situaţiei care justifica aplicarea alin. (1) şi (2) operatorii care desfăşoară activităţile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
    (4) Autorităţile publice ţin evidenta unor astfel de cazuri şi informează periodic autoritatea de supraveghere despre modul de soluţionare a lor.
    Dreptul de a nu fi supus unei decizii individuale
     ART. 17
    (1) Orice persoana are dreptul de a cere şi de a obţine:
    a) retragerea sau anularea oricărei decizii care produce efecte juridice în privinţa sa, adoptată exclusiv pe baza unei prelucrari de date cu caracter personal, efectuată prin mijloace automate, destinată sa evalueze unele aspecte ale personalităţii sale, precum competenta profesională, credibilitatea, comportamentul sau ori alte asemenea aspecte;
    b) reevaluarea oricărei alte decizii luate în privinţa sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrari de date care întruneşte condiţiile prevăzute la lit. a).
    (2) Respectându-se celelalte garanţii prevăzute de prezenta lege, o persoana poate fi supusă unei decizii de natura celei vizate la alin. (1), numai în următoarele situaţii:
    a) decizia este luată în cadrul încheierii sau executării unui contract, cu condiţia ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizata, sa fi fost satisfacuta sau ca unele măsuri adecvate, precum posibilitatea de a-si susţine punctul de vedere, sa garanteze apărarea propriului interes legitim;
    b) decizia este autorizata de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.
    Dreptul de a se adresa justiţiei
     ART. 18
    (1) Fără a se aduce atingere posibilitatii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost incalcate.
    (2) Orice persoana care a suferit un prejudiciu în urma unei prelucrari de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.
    (3) Instanta competenta este cea în a carei raza teritorială domiciliază reclamantul. Cererea de chemare în judecata este scutită de taxa de timbru.

     CAP. V
    Confidenţialitatea şi securitatea prelucrarilor

    Confidenţialitatea prelucrarilor
     ART. 19
    Orice persoana care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana imputernicita, care are acces la date cu caracter personal, nu poate sa le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale.
    Securitatea prelucrarilor
     ART. 20
    (1) Operatorul este obligat sa aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvaluirii sau accesului neautorizat, în special dacă prelucrarea respectiva comporta transmisii de date în cadrul unei reţele, precum şi impotriva oricărei alte forme de prelucrare ilegala.
    (2) Aceste măsuri trebuie sa asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare şi de costuri, un nivel de securitate adecvat în ceea ce priveşte riscurile pe care le reprezintă prelucrarea, precum şi în ceea ce priveşte natura datelor care trebuie protejate. Cerinţele minime de securitate vor fi elaborate de autoritatea de supraveghere şi vor fi actualizate periodic, corespunzător progresului tehnic şi experienţei acumulate.
    (3) Operatorul, atunci când desemnează o persoana imputernicita, este obligat sa aleagă o persoana care prezintă suficiente garanţii în ceea ce priveşte măsurile de securitate tehnica şi organizatorice cu privire la prelucrările ce vor fi efectuate, precum şi sa vegheze la respectarea acestor măsuri de către persoana desemnată.
    (4) Autoritatea de supraveghere poate decide, în cazuri individuale, asupra obligării operatorului la adoptarea unor măsuri suplimentare de securitate, cu excepţia celor care privesc garantarea securităţii serviciilor de telecomunicaţii.
    (5) Efectuarea prelucrarilor prin persoane împuternicite trebuie sa se desfăşoare în baza unui contract încheiat în forma scrisă, care va cuprinde în mod obligatoriu:
    a) obligaţia persoanei împuternicite de a acţiona doar în baza instrucţiunilor primite de la operator;
    b) faptul ca îndeplinirea obligaţiilor prevăzute la alin. (1) revine şi persoanei împuternicite.

     CAP. VI
    Supravegherea şi controlul prelucrarilor de date cu caracter personal

    Autoritatea de supraveghere
     ART. 21
    (1) Autoritatea de supraveghere, în sensul prezentei legi, este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
------------
    Alin. (1) al art. 21 a fost modificat de pct. 1 al art. 22 din LEGEA nr. 102 din 3 mai 2005, publicată în MONITORUL OFICIAL nr. 391 din 9 mai 2005.

    (2) Autoritatea de supraveghere îşi desfăşoară activitatea în condiţii de completa independenta şi impartialitate.
    (3) Autoritatea de supraveghere monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenta prezentei legi.
    In acest scop autoritatea de supraveghere exercita următoarele atribuţii:
    a) elaborează formularele tipizate ale notificărilor şi ale registrelor proprii;
    b) primeşte şi analizează notificările privind prelucrarea datelor cu caracter personal, anuntând operatorului rezultatele controlului prealabil;
    c) autorizează prelucrările de date în situaţiile prevăzute de lege;
    d) poate dispune, în cazul în care constata încălcarea dispoziţiilor prezentei legi, suspendarea provizorie sau încetarea prelucrării datelor, ştergerea parţială ori integrala a datelor prelucrate şi poate sa sesiseze organele de urmărire penală sau sa intenteze acţiuni în justiţie;
    d^1) informează persoanele fizice sau/şi juridice care activează în aceste domenii, în mod direct sau prin intermediul structurilor asociative ale acestora, asupra necesităţii respectării obligaţiilor şi îndeplinirii procedurilor prevăzute de prezenta lege;
------------
    Litera d^1) a alin. (3) al art. 21 a fost introdusă de pct. 2 al art. 22 din LEGEA nr. 102 din 3 mai 2005, publicată în MONITORUL OFICIAL nr. 391 din 9 mai 2005.

    e) păstrează şi pune la dispoziţie publicului registrul de evidenta a prelucrarilor de date cu caracter personal;
    f) primeşte şi soluţionează plângeri, sesizări sau cereri de la persoanele fizice şi comunica soluţia data ori, după caz, diligenţele depuse;
    g) efectuează investigaţii din oficiu sau la primirea unor plângeri ori sesizări;
    h) este consultata atunci când se elaborează proiecte de acte normative referitoare la protecţia drepturilor şi libertăţilor persoanelor, în privinţa prelucrării datelor cu caracter personal;
    i) poate face propuneri privind iniţierea unor proiecte de acte normative sau modificarea actelor normative în vigoare în domenii legate de prelucrarea datelor cu caracter personal;
    j) cooperează cu autorităţile publice şi cu organele administraţiei publice, centralizează şi analizează rapoartele anuale de activitate ale acestora privind protecţia persoanelor în privinţa prelucrării datelor cu caracter personal, formulează recomandări şi avize asupra oricărei chestiuni legate de protecţia drepturilor şi libertăţilor fundamentale în privinţa prelucrării datelor cu caracter personal, la cererea oricărei persoane, inclusiv a autorităţilor publice şi a organelor administraţiei publice; aceste recomandări şi avize trebuie sa facă menţiune despre temeiurile pe care se sprijină şi se comunica în copie şi Ministerului Justiţiei; atunci când recomandarea sau avizul este cerut de lege, se publica în Monitorul Oficial al României, Partea I;
    k) cooperează cu autorităţile similare de peste hotare în vederea asistenţei mutuale, precum şi cu persoanele cu domiciliul sau cu sediul în străinătate, în scopul apărării drepturilor şi libertăţilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
    l) îndeplineşte alte atribuţii prevăzute de lege.
    m) modul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal se stabileşte prin lege.
------------
    Litera m) a alin. (3) al art. 21 a fost introdusă de pct. 3 al art. 22 din LEGEA nr. 102 din 3 mai 2005, publicată în MONITORUL OFICIAL nr. 391 din 9 mai 2005.

    (4) Întregul personal al autorităţii de supraveghere are obligaţia de a păstra secretul profesional, cu excepţiile prevăzute de lege, pe termen nelimitat, asupra informaţiilor confidenţiale sau clasificate la care are sau a avut acces în exercitarea atribuţiilor de serviciu, inclusiv după încetarea raporturilor juridice cu autoritatea de supraveghere.
    Notificarea către autoritatea de supraveghere
     ART. 22
    (1) Operatorul este obligat sa notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrari ori a oricărui ansamblu de prelucrari având acelaşi scop sau scopuri corelate.
    (2) Notificarea nu este necesară în cazul în care prelucrarea are ca unic scop ţinerea unui registru destinat prin lege informării publicului şi deschis spre consultare publicului în general sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea sa se limiteze la datele strict necesare ţinerii registrului menţionat.
    (3) Notificarea va cuprinde cel puţin următoarele informaţii:
    a) numele sau denumirea şi domiciliul ori sediul operatorului şi ale reprezentantului desemnat al acestuia, dacă este cazul;
    b) scopul sau scopurile prelucrării;
    c) o descriere a categoriei sau a categoriilor de persoane vizate şi a datelor ori a categoriilor de date ce vor fi prelucrate;
    d) destinatarii sau categoriile de destinatari cărora se intenţionează sa li se dezvaluie datele;
    e) garanţiile care însoţesc dezvaluirea datelor către terţi;
    f) modul în care persoanele vizate sunt informate asupra drepturilor lor; data estimată pentru încheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioara a datelor;
    g) transferuri de date care se intenţionează sa fie făcute către alte state;
    h) o descriere generală care sa permită aprecierea preliminară a măsurilor luate pentru asigurarea securităţii prelucrării;
    i) specificarea oricărui sistem de evidenta a datelor cu caracter personal, care are legătura cu prelucrarea, precum şi a eventualelor legături cu alte prelucrari de date sau cu alte sisteme de evidenta a datelor cu caracter personal, indiferent dacă se efectuează, respectiv dacă sunt sau nu sunt situate pe teritoriul României;
    j) motivele care justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice ori în scopuri statistice, de cercetare istorica sau ştiinţifică.
    (4) Dacă notificarea este incompleta, autoritatea de supraveghere va solicita completarea acesteia.
    (5) In limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita şi alte informaţii, în special privind originea datelor, tehnologia de prelucrare automată utilizata şi detalii referitoare la măsurile de securitate. Dispoziţiile prezentului alineat nu se aplica în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice.
    (6) Dacă se intenţionează ca datele care sunt prelucrate sa fie transferate în străinătate, notificarea va cuprinde şi următoarele elemente:
    a) categoriile de date care vor face obiectul transferului;
    b) ţara de destinaţie pentru fiecare categorie de date.
--------------
    Alin. (7) al art. 22 a fost abrogat de pct. 2 al articolului unic din LEGEA nr. 278 din 15 octombrie 2007, publicată în MONITORUL OFICIAL nr. 708 din 19 octombrie 2007.

    (8) Autorităţile publice care efectuează prelucrari de date cu caracter personal în legătura cu activităţile descrise la art. 2 alin. (5), în temeiul legii sau în îndeplinirea obligaţiilor asumate prin acorduri internaţionale ratificate, sunt scutite de taxa prevăzută la alin. (7). Notificarea se va transmite în termen de 15 zile de la intrarea în vigoare a actului normativ care instituie obligaţia respectiva şi va cuprinde numai următoarele elemente:
    a) denumirea şi sediul operatorului;
    b) scopul şi temeiul legal al prelucrării;
    c) categoriile de date cu caracter personal supuse prelucrării.
    (9) Autoritatea de supraveghere poate stabili şi alte situaţii în care notificarea nu este necesară, în afară celei prevăzute la alin. (2), sau situaţii în care notificarea se poate efectua într-o forma simplificata, precum şi conţinutul acesteia, numai în unul dintre următoarele cazuri:
    a) atunci când, luând în considerare natura datelor destinate sa fie prelucrate, prelucrarea nu poate afecta, cel puţin aparent, drepturile persoanelor vizate, cu condiţia sa precizeze expres scopurile în care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cărora datele le pot fi dezvăluite şi perioada pentru care datele pot fi stocate;
    b) atunci când prelucrarea se efectuează în condiţiile art. 7 alin. (2) lit. d).
    Controlul prealabil
     ART. 23
    (1) Autoritatea de supraveghere va stabili categoriile de operaţiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor.
    (2) Dacă pe baza notificării autoritatea de supraveghere constata ca prelucrarea se încadrează în una dintre categoriile menţionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil începerii prelucrării respective, cu anunţarea operatorului.
    (3) Operatorii care nu au fost anunţaţi în termen de 5 zile de la data notificării despre efectuarea unui control prealabil pot începe prelucrarea.
    (4) In situaţia prevăzută la alin. (2) autoritatea de supraveghere este obligată ca, în termen de cel mult 30 de zile de la data notificării, sa aducă la cunoştinţa operatorului rezultatul controlului efectuat, precum şi decizia emisă în urma acestuia.
    Registrul de evidenta a prelucrarilor de date cu caracter personal
     ART. 24
    (1) Autoritatea de supraveghere păstrează un registru de evidenta a prelucrarilor de date cu caracter personal, notificate în conformitate cu prevederile art. 22. Registrul va cuprinde toate informaţiile prevăzute la art. 22 alin. (3).
    (2) Fiecare operator primeşte un număr de înregistrare. Numărul de înregistrare trebuie menţionat pe orice act prin care datele sunt colectate, stocate sau dezvăluite.
    (3) Orice schimbare de natura sa afecteze exactitatea informaţiilor înregistrate va fi comunicată autorităţii de supraveghere în termen de 5 zile. Autoritatea de supraveghere va dispune de îndată efectuarea mentiunilor corespunzătoare în registru.
    (4) Activităţile de prelucrare a datelor cu caracter personal, începute anterior intrării în vigoare a prezentei legi, vor fi notificate în vederea înregistrării în termen de 15 zile de la data intrării în vigoare a prezentei legi.
    (5) Registrul de evidenta a prelucrarilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileşte de autoritatea de supraveghere.
    Plângeri adresate autorităţii de supraveghere
     ART. 25
    (1) In vederea apărării drepturilor prevăzute de prezenta lege persoanele ale căror date cu caracter personal fac obiectul unei prelucrari care cade sub incidenta prezentei legi pot înainta plângere către autoritatea de supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana lezata poate imputernici o asociaţie sau o fundaţie sa ii reprezinte interesele.
    (2) Plângerea către autoritatea de supraveghere nu poate fi înaintată dacă o cerere în justiţie, având acelaşi obiect şi aceleaşi părţi, a fost introdusă anterior.
    (3) In afară cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea către autoritatea de supraveghere nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut către operator.
    (4) In vederea soluţionării plângerii, dacă apreciază ca este necesar, autoritatea de supraveghere poate audia persoana vizata, operatorul si, dacă este cazul, persoana imputernicita sau asociaţia ori fundaţia care reprezintă interesele persoanei vizate. Aceste persoane au dreptul de a înainta cereri, documente şi memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
    (5) Dacă plângerea este gasita intemeiata, autoritatea de supraveghere poate decide oricare dintre măsurile prevăzute la art. 21 alin. (3) lit. d). Interdicţia temporară a prelucrării poate fi instituită numai pana la încetarea motivelor care au determinat luarea acestei măsuri.
    (6) Decizia trebuie motivată şi se comunica părţilor interesate în termen de 30 de zile de la data primirii plângerii.
    (7) Autoritatea de supraveghere poate ordona, dacă apreciază necesar, suspendarea unora sau tuturor operaţiunilor de prelucrare pana la soluţionarea plângerii în condiţiile alin. (5).
    (8) Autoritatea de supraveghere se poate adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege persoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucureşti. Cererea de chemare în judecata este scutită de taxa de timbru.
    (9) La cererea persoanelor vizate, pentru motive întemeiate, instanta poate dispune suspendarea prelucrării pana la soluţionarea plângerii de către autoritatea de supraveghere.
    (10) Prevederile alin. (4)-(9) se aplica în mod corespunzător şi în situaţia în care autoritatea de supraveghere afla pe orice alta cale despre săvârşirea unei încălcări a drepturilor recunoscute de prezenta lege persoanelor vizate.
    Contestarea deciziilor autorităţii de supraveghere
     ART. 26
    (1) Impotriva oricărei decizii emise de autoritatea de supraveghere în temeiul dispoziţiilor prezentei legi operatorul sau persoana vizata poate formula contestaţie în termen de 15 zile de la comunicare, sub sancţiunea decăderii, la instanta de contencios administrativ competenta. Cererea se judeca de urgenta, cu citarea părţilor. Soluţia este definitiva şi irevocabilă.
    (2) Fac excepţie de la prevederile alin. (1), precum şi de la cele ale art. 23 şi 25 prelucrările de date cu caracter personal, efectuate în cadrul activităţilor prevăzute la art. 2 alin. (5).
    Exercitarea atribuţiilor de investigare
     ART. 27
    (1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plângeri, orice încălcare a drepturilor persoanelor vizate, respectiv a obligaţiilor care revin operatorilor si, după caz, persoanelor împuternicite, în cadrul efectuării prelucrarilor de date cu caracter personal, în scopul apărării drepturilor şi libertăţilor fundamentale ale persoanelor vizate.
    (2) Atribuţiile de investigare nu pot fi exercitate de către autoritatea de supraveghere în cazul în care o cerere în justiţie introdusă anterior are ca obiect săvârşirea aceleiaşi încălcări a drepturilor şi opune aceleaşi părţi.
    (3) In exercitarea atribuţiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informaţii legate de prelucrarea datelor cu caracter personal şi poate verifica orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal.
    (4) Secretul de stat şi secretul profesional nu pot fi invocate pentru a împiedica exercitarea atribuţiilor acordate prin prezenta lege autorităţii de supraveghere. Atunci când este invocată protecţia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligaţia de a păstra secretul.
------------
    Alin. (5) al art. 27 a fost abrogat de pct. 4 al art. 22 din LEGEA nr. 102 din 3 mai 2005, publicată în MONITORUL OFICIAL nr. 391 din 9 mai 2005.

    Norme de conduita
     ART. 28
    (1) Asociaţiile profesionale au obligaţia de a elabora şi de a supune spre avizare autorităţii de supraveghere coduri de conduita care sa conţină norme adecvate pentru protecţia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către membrii acestora.
    (2) Normele de conduita trebuie sa prevadă măsuri şi proceduri care sa asigure un nivel satisfăcător de protecţie, ţinând seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune măsuri şi proceduri specifice pentru perioada în care normele de conduita la care s-a făcut referire anterior nu sunt adoptate.

     CAP. VII
    Transferul în străinătate al datelor cu caracter personal

    Condiţiile transferului în străinătate al datelor cu caracter personal
     ART. 29
    (1) Transferul către un alt stat de date cu caracter personal care fac obiectul unei prelucrari sau sunt destinate sa fie prelucrate după transfer poate avea loc numai în condiţiile în care nu se încalca legea romana, iar statul către care se intenţionează transferul asigura un nivel de protecţie adecvat.
    (2) Nivelul de protecţie va fi apreciat de către autoritatea de supraveghere, ţinând seama de totalitatea împrejurărilor în care se realizează transferul de date, în special având în vedere natura datelor transmise, scopul prelucrării şi durata propusă pentru prelucrare, statul de origine şi statul de destinaţie finala, precum şi legislaţia statului solicitant. In cazul în care autoritatea de supraveghere constata ca nivelul de protecţie oferit de statul de destinaţie este nesatisfăcător, poate dispune interzicerea transferului de date.
    (3) In toate situaţiile transferul de date cu caracter personal către un alt stat va face obiectul unei notificări prealabile a autorităţii de supraveghere.
    (4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal către un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana atunci când operatorul oferă garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor. Aceste garanţii trebuie sa fie stabilite prin contracte încheiate între operatori şi persoanele fizice sau juridice din dispoziţia cărora se efectuează transferul.
    (5) Prevederile alin. (2), (3) şi (4) nu se aplica dacă transferul datelor se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România, în special dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracţiuni.
    (6) Prevederile prezentului articol nu se aplica atunci când prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacă datele au fost făcute publice în mod manifest de către persoana vizata sau sunt strâns legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor în care este implicata.
    Situaţii în care transferul este întotdeauna permis
     ART. 30
    Transferul de date este întotdeauna permis în următoarele situaţii:
    a) când persoana vizata si-a dat în mod explicit consimţământul pentru efectuarea transferului; în cazul în care transferul de date se face în legătura cu oricare dintre datele prevăzute la art. 7, 8 şi 10, consimţământul trebuie dat în scris;
    b) când este necesar pentru executarea unui contract încheiat între persoana vizata şi operator sau pentru executarea unor măsuri precontractuale dispuse la cererea pesoanei vizate;
    c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator şi un terţ;
    d) când este necesar pentru satisfacerea unui interes public major, precum apărarea naţionala, ordinea publica sau siguranţa naţionala, pentru buna desfăşurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiţie, cu condiţia ca datele sa fie prelucrate în legătura cu acest scop şi nu mai mult timp decât este necesar;
    e) când este necesar pentru a proteja viaţa, integritatea fizica sau sănătatea persoanei vizate;
    f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informaţii care pot fi obţinute din registre sau prin orice alte documente accesibile publicului.

     CAP. VIII
    Contravenţii şi sancţiuni

    Omisiunea de a notifica şi notificarea cu rea-credinţa
     ART. 31
    Omisiunea de a efectua notificarea în condiţiile art. 22 sau ale art. 29 alin. (3) în situaţiile în care aceasta notificare este obligatorie, precum şi notificarea incompleta sau care conţine informaţii false constituie contravenţii, dacă nu sunt săvârşite în astfel de condiţii încât sa constituie infracţiuni, şi se sancţionează cu amenda de la 5.000.000 lei la 100.000.000 lei.
    Prelucrarea nelegală a datelor cu caracter personal
     ART. 32
    Prelucrarea datelor cu caracter personal de către un operator sau de o persoana imputernicita de acesta, cu încălcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevăzute la art. 12-15 sau la art. 17, constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât sa constituie infracţiune, şi se sancţionează cu amenda de la 10.000.000 lei la 250.000.000 lei.
    Neîndeplinirea obligaţiilor privind confidenţialitatea şi aplicarea măsurilor de securitate
     ART. 33
    Neîndeplinirea obligaţiilor privind aplicarea măsurilor de securitate şi de păstrare a confidenţialităţii prelucrarilor, prevăzute la art. 19 şi 20, constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât sa constituie infracţiune, şi se sancţionează cu amenda de la 15.000.000 lei la 500.000.000 lei.
    Refuzul de a furniza informaţii
     ART. 34
    Refuzul de a furniza autorităţii de supraveghere informaţiile sau documentele cerute de aceasta în exercitarea atribuţiilor de investigare prevăzute la art. 27 constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât sa constituie infracţiune, şi se sancţionează cu amenda de la 10.000.000 lei la 150.000.000 lei.
    Constatarea contravenţiilor şi aplicarea sancţiunilor
     ART. 35
    (1) Constatarea contravenţiilor şi aplicarea sancţiunilor se efectuează de către autoritatea de supraveghere, care poate delega aceste atribuţii unor persoane recrutate din rândul personalului sau, precum şi de reprezentanţi împuterniciţi ai organelor cu atribuţii de supraveghere şi control, abilitate potrivit legii.
    (2) Dispoziţiile prezentei legi referitoare la contravenţii se completează cu prevederile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, în măsura în care prezenta lege nu dispune altfel.
    (3) Impotriva proceselor-verbale de constatare şi sancţionare se poate face plângere la secţiile de contencios administrativ ale tribunalelor.

     CAP. IX
    Dispoziţii finale

    Intrarea în vigoare
     ART. 36
    Prezenta lege intra în vigoare la data publicării ei în Monitorul Oficial al României, Partea I, şi se pune în aplicare în termen de 3 luni de la intrarea sa în vigoare.

    Aceasta lege a fost adoptată de Senat în şedinţa din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constituţia României.

                             PREŞEDINTELE SENATULUI
                                NICOLAE VACAROIU

    Aceasta lege a fost adoptată de Camera Deputaţilor în şedinţa din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constituţia României.

                                  PREŞEDINTELE
                              CAMEREI DEPUTAŢILOR
                                 VALER DORNEANU
                                ---------------