LEGEA 190/2018 pentru punerea in aplicare a GDPR (Regulamentul general privind protectia datelor)

Parlamentul Romaniei adopta prezenta lege.

CAPITOLUL I: Dispozitii generale

Art. 1: Obiectul legii

Prezenta lege stabileste masurile necesare punerii in aplicare la nivel national, in principal, a prevederilor art. 6 alin. (2), art. 9 alin. (4), art. 37-39, 42, 43, art. 83 alin. (7), art. 85 si ale art. 87-89 din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date si de abrogare a Directivei 95/46/CE, publicat in Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016, denumit in continuare Regulamentul general privind protectia datelor.

Art. 2: Definitii

(1)In aplicarea Regulamentului general privind protectia datelor si a prezentei legi, termenii si expresiile de mai jos se definesc dupa cum urmeaza:

a)autoritati si organisme publice - Camera Deputatilor si Senatul, Administratia Prezidentiala, Guvernul, ministerele, celelalte organe de specialitate ale administratiei publice centrale, autoritatile si institutiile publice autonome, autoritatile administratiei publice locale si deja nivel judetean, alte autoritati publice, precum si institutiile din subordinea/coordonarea acestora. In sensul prezentei legi, sunt asimilate autoritatilor/organismelor publice si unitatile de cult si asociatiile si fundatiile de utilitate publica;

b)numar de identificare national - numarul prin care se identifica o persoana fizica in anumite sisteme de evidenta si care are aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, al permisului de conducere, numarul de asigurare sociala de sanatate;

c)plan de remediere - anexa la procesul-verbal de constatare si sanctionare a contraventiei, intocmit in conditiile prevazute la art. 11, prin care Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare Autoritatea nationala de supraveghere, stabileste masuri si un termen de remediere;

d)masura de remediere - solutie dispusa de Autoritatea nationala de supraveghere in planul de remediere in vederea indeplinirii de catre autoritatea/organismul public a obligatiilor prevazute de lege;

e)termen de remediere - perioada de timp de cel mult 90 de zile de la data comunicarii procesului-verbal de constatare si sanctionare a contraventiei, in care autoritatea/organismul public are posibilitatea remedierii neregulilor constatate si indeplinirii obligatiilor legale;

f)indeplinirea unei sarcini care serveste unui interes public - include acele activitati ale partidelor politice sau ale organizatiilor cetatenilor apartinand minoritatilor nationale, ale organizatiilor neguvernamentale, care servesc realizarii obiectivelor prevazute de dreptul constitutional sau de dreptul international public ori functionarii sistemului democratic, incluzand incurajarea participarii cetatenilor in procesul de luare a deciziilor si a pregatirii politicilor publice, respectiv promovarea principiilor si valorilor democratiei.

(2)In cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art. 4 din Regulamentul general privind protectia datelor.

CAPITOLUL II: Reguli speciale privind prelucrarea unor categorii de date cu caracter personal

Art. 3: Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sanatatea

(1)Prelucrarea datelor genetice, biometrice sau a datelor privind sanatatea, in scopul realizarii unui proces decizional automatizat sau pentru crearea de profiluri, este permisa cu consimtamantul explicit al persoanei vizate sau daca prelucrarea este efectuata in temeiul unor dispozitii legale exprese, cu instituirea unor masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate.

(2)Prelucrarea datelor privind sanatatea realizata in scopul asigurarii sanatatii publice, astfel cum este definita in Regulamentul (CE) nr. 1.338/2008 al Parlamentului European si al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sanatatea publica, precum si la sanatatea si siguranta la locul de munca, publicat in Jurnalul Oficial al Uniunii Europene, seria L, nr. 354/70 din 31 decembrie 2008, nu se poate efectua ulterior, in alte scopuri, de catre terte entitati.

Art. 4: Prelucrarea unui numar de identificare national

(1)Prelucrarea unui numar de identificare national, inclusiv prin colectarea sau dezvaluirea documentelor ce il contin, se poate efectua in situatiile prevazute de art. 6 alin. (1) din Regulamentul general privind protectia datelor.

(2)Prelucrarea unui numar de identificare national, inclusiv prin colectarea sau dezvaluirea documentelor ce il contin, in scopul prevazut la art. 6 alin. (1) lit. f) din Regulamentul general privind protectia datelor, respectiv al realizarii intereselor legitime urmarite de operator sau de o parte terta, se efectueaza cu instituirea de catre operator a urmatoarelor garantii:

a)punerea in aplicare de masuri tehnice si organizatorice adecvate pentru respectarea, in special, a principiului reducerii la minimum a datelor, precum si pentru asigurarea securitatii si confidentialitatii prelucrarilor de date cu caracter personal, conform dispozitiilor art. 32 din Regulamentul general privind protectia datelor;

b)numirea unui responsabil pentru protectia datelor, in conformitate cu prevederile art. 10 din prezenta lege;

c)stabilirea de termene de stocare in functie de natura datelor si scopul prelucrarii, precum si de termene specifice in care datele cu caracter personal trebuie sterse sau revizuite in vederea stergerii;

d)instruirea periodica cu privire la obligatiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, prelucreaza date cu caracter personal.

Art. 5: Prelucrarea datelor cu caracter personal in contextul relatiilor de munca

In cazul in care sunt utilizate sisteme de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca, prelucrarea datelor cu caracter personal ale angajatilor, in scopul realizarii intereselor legitime urmarite de angajator, este permisa numai daca:

a)interesele legitime urmarite de angajator sunt temeinic justificate si prevaleaza asupra intereselor sau drepturilor si libertatilor persoanelor vizate;

b)angajatorul a realizat informarea prealabila obligatorie, completa si in mod explicit a angajatilor;

c)angajatorul a consultat sindicatul sau, dupa caz, reprezentantii angajatilor inainte de introducerea sistemelor de monitorizare;

d)alte forme si modalitati mai putin intruzive pentru atingerea scopului urmarit de angajator nu si-au dovedit anterior eficienta; si

e)durata de stocare a datelor cu caracter personal este proportionala cu scopul prelucrarii, dar nu mai mare de 30 de zile, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Art. 6: Prelucrarea datelor cu caracter personal si de categorii speciale de date cu caracter personal, in contextul indeplinirii unei sarcini care serveste unui interes public

In cazul in care prelucrarea datelor personale si speciale este necesara pentru indeplinirea unei sarcini care serveste unui interes public conform art. 6 alin. (1) lit. e) si art. 9 lit. g) din Regulamentul general privind protectia datelor se efectueaza cu instituirea de catre operator sau de catre partea terta a urmatoarelor garantii:

a)punerea in aplicare a masurilor tehnice si organizatorice adecvate pentru respectarea principiilor enumerate la art. 5 din Regulamentul general privind protectia datelor, in special a reducerii la minimum a datelor, respectiv a principiului integritatii si confidentialitatii;

b)numirea unui responsabil pentru protectia datelor, daca aceasta este necesara in conformitate cu art. 10 din prezenta lege;

c)stabilirea de termene de stocare in functie de natura datelor si scopul prelucrarii, precum si de termene specifice in care datele cu caracter personal trebuie sterse sau revizuite in vederea stergerii.

CAPITOLUL III: Derogari

Art. 7: Prelucrarea datelor cu caracter personal in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare

In vederea asigurarii unui echilibru intre dreptul la protectia datelor cu caracter personal, libertatea de exprimare si dreptul la informatie, prelucrarea in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare poate fi efectuata, daca aceasta priveste date cu caracter personal care au fost facute publice in mod manifest de catre persoana vizata sau care sunt strans legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor in care este implicata, prin derogare de la urmatoarele capitole din Regulamentul general privind protectia datelor:

a)capitolul II - Principii;

b)capitolul III - Drepturile persoanei vizate;

c)capitolul IV - Operatorul si persoana imputernicita de operator;

d)capitolul V - Transferurile de date cu caracter personal catre tari terte sau organizatii internationale;

e)capitolul VI - Autoritati de supraveghere independente;

f)capitolul VII - Cooperare si coerenta;

g)capitolul IX - Dispozitii referitoare la situatii specifice de prelucrare .