Legea nr. 363/2018 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau al executarii pedepselor, masurilor educative si de siguranta, precum si privind libera circulatie a acestor date

Articolul 1. - (1) Prezenta lege reglementeaza prelucrarea datelor cu caracter personal in scopul realizarii activitatilor de prevenire, descoperire, cercetare, urmarire penala si combatere a infractiunilor, de executare a pedepselor, masurilor educative si de siguranta, precum si de mentinere si asigurare a ordinii si sigurantei publice de catre autoritatile competente, in limitele competentelor stabilite prin lege.

(2) Prelucrarea datelor cu caracter personal pentru realizarea activitatilor de mentinere si asigurare a ordinii si sigurantei publice se realizeaza numai daca acestea sunt prevazute de lege si sunt necesare pentru prevenirea unui pericol cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea infractiunilor.

Articolul 2. - (1) Prezenta lege are ca scop protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului la protectia datelor cu caracter personal.
(2) Prezenta lege stabileste conditiile in care se realizeaza libera circulatie a datelor cu caracter personal in scopul realizarii activitatilor prevazute la art. 1.
(3) Libera circulatie a datelor cu caracter personal pe teritoriul national sau in relatia cu statele membre ale Uniunii Europene, circumscrisa realizarii activitatilor prevazute la art. 1, nu poate fi impiedicata din motive legate de protectia persoanei fata de prelucrarile de date cu caracter personal atat timp cat conditiile din prezenta lege sau, dupa caz, din Regulamentul UE 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), denumit in continuare Regulamentul general privind protectia datelor, ori din legislatia nationala de punere in aplicare a acestuia sunt indeplinite.

Articolul 3. - (1) Prezenta lege se aplica prelucrarii datelor cu caracter personal de catre autoritatile competente in scopurile prevazute la art. 1.
(2) Prezenta lege se aplica prelucrarii datelor cu caracter personal realizate integral sau partial prin mijloace automatizate, precum si prelucrarii, prin alte mijloace decat cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa fie incluse intr-un asemenea sistem .
(3) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal efectuate pentru realizarea activitatilor din domeniul apararii nationale si securitatii nationale, in limitele si cu restrictiile stabilite prin legislatia in materie.

Articolul 4. - In sensul prezentei legi, termenii si expresiile de mai jos au urmatoarele semnificatii:
a) date cu caracter personal - orice informatii privind o persoana fizica identificata sau identificabila, denumita in continuare persoana vizata; o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
b) prelucrare - orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvaluirea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
c) restrictionarea prelucrarii - marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;
d) creare de profiluri - orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau a preconiza aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, corectitudinea, comportamentul, localizarea sau deplasarile respectivei persoane fizice;
e) pseudonimizare - prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, in masura in care aceste informatii suplimentare sunt stocate separat si fac obiectul unor masuri de natura tehnica si organizatorica destinate sa garanteze neatribuirea unei persoane fizice identificate sau identificabile;
f) sistem de evidenta a datelor - orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;
g) autoritate competenta - orice autoritate publica sau orice alt organism sau entitate investita cu exercitiul autoritatii de stat, competenta in materie de prevenire, descoperire, cercetare, urmarire penala si combatere a infractiunilor sau de executare a pedepselor, inclusiv in materia mentinerii si asigurarii ordinii si sigurantei publice;
h) operator - autoritatea competenta care, singura sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele de prelucrare sunt stabilite printr-un act normativ, operatorul sau criteriile specifice pentru determinarea acestuia se stabilesc prin actul normativ de referinta;
i) persoana imputernicita de catre operator - persoana fizica sau juridica, institutia/autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
j) destinatar - persoana fizica sau juridica, institutia/autoritatea publica, agentia sau un alt organism caruia ii sunt transmise datele cu caracter personal, fie ca aceasta este sau nu o parte terta; sunt exceptate din intelesul definitiei autoritatile competente care pot primi date cu caracter personal in cadrul unei anchete, in conformitate cu legislatia aplicabila, iar prelucrarea datelor cu caracter personal respective de catre acestea respecta normele aplicabile in materie de protectie a datelor in conformitate cu scopurile prelucrarii;
k) incalcarea securitatii datelor cu caracter personal - orice eveniment, actiune sau inactiune ce poate provoca o incalcare a securitatii, care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod;
l) date genetice - datele cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care ofera informatii unice privind fiziologia sau sanatatea respectivei persoane fizice, astfel cum rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la acea persoana fizica;
m) date biometrice - date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice, referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirma identificarea unica a respectivei persoane fizice, cum ar fi imaginile faciale sau datele dactiloscopice;
n) date privind sanatatea - date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv acordarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;
o) autoritate de supraveghere - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, desemnata potrivit Legii nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare;
p) organizatie internationala - o organizatie si organismele sale subordonate reglementate de dreptul international public sau orice alt organism care este instituit printr-un acord incheiat intre doua sau mai multe state sau in temeiul unui astfel de acord;
q) interoperabilizare - operatiunea de a pune in legatura datele cu caracter personal cuprinse intr-un fisier, intr-o baza de date sau intr-un sistem de evidenta automat cu cele cuprinse intr-unul sau mai multe fisiere, baze de date sau sisteme de evidenta automate care sunt gestionate de operatori diferiti sau de catre acelasi operator, dar avand scopuri diferite, similare sau corelate, dupa caz;
r) evidenta pasiva - fisier sau baza de date cu caracter personal constituita in scopul accesarii limitate si ulterior stergerii datelor stocate din sistemul de evidenta;
s) stat membru - orice stat membru al Uniunii Europene;
s) plan de remediere - anexa la procesul-verbal de constatare si sanctionare a contraventiei, intocmit in conditiile prevazute la art. 62, prin care Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal stabileste masuri si un termen de remediere;
t) masura de remediere - solutie dispusa de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal in planul de remediere in vederea indeplinirii de catre operator sau de catre persoana imputernicita de acesta a obligatiilor prevazute de lege;
t) termen de remediere - perioada de timp cuprinsa intre 60 si 180 de zile de la data comunicarii procesului-verbal de constatare si sanctionare a contraventiei, in care operatorul sau persoana imputernicita de acesta are posibilitatea remedierii neregulilor constatate si indeplinirii obligatiilor legale.

Articolul 5. - (1) Datele cu caracter personal trebuie sa fie:
a) prelucrate in mod legal si echitabil;
b) colectate in scopuri determinate, explicite si legitime si sa nu fie prelucrate intr-un mod incompatibil cu aceste scopuri;
c) adecvate, relevante si neexcesive prin raportare la scopurile in care sunt prelucrate;
d) exacte si, daca este necesar, actualizate; trebuie adoptate toate masurile rezonabile pentru a asigura faptul ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sa fie sterse sau rectificate fara intarziere;
e) pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor pentru care sunt prelucrate datele respective;
f) prelucrate intr-un mod care sa asigure securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.
(2) Datele cu caracter personal pot fi prelucrate pentru realizarea activitatilor prevazute la art. 1 de catre acelasi operator sau de catre alt operator intr-un alt scop decat cel avut in vedere la momentul colectarii datelor cu caracter personal, numai daca sunt indeplinite cumulativ urmatoarele conditii:
a) operatorul este abilitat sa prelucreze astfel de date cu caracter personal in scopul respectiv, in conformitate cu cadrul normativ aplicabil;
b) prelucrarea este necesara si proportionala in raport cu scopul respectiv, in conformitate cu cadrul normativ aplicabil.
(3) Datele cu caracter personal pot fi prelucrate de catre acelasi operator sau de catre alt operator in scopul arhivarii in interes public sau in scopuri stiintifice, statistice sau istorice legate de realizarea activitatilor prevazute la art. 1 alin. (1), cu conditia instituirii unor garantii adecvate pentru drepturile si libertatile persoanelor vizate.
(4) Operatorul este responsabil pentru respectarea prevederilor alin. (1)-(3) si adopta masuri si/sau instituie proceduri pentru a demonstra respectarea acestor prevederi.

Articolul 6. - (1) Actele normative, indiferent de nivelul de legiferare, care instituie prelucrari de date cu caracter personal in scopul realizarii activitatilor prevazute la art. 1, trebuie sa stabileasca cel putin urmatoarele aspecte: