Legea nr. 363/2018 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau al executarii pedepselor, masurilor educative si de siguranta, precum si privind libera circulatie a acestor date

Articolul 26. - (1) Se interzice persoanei imputernicite de catre operator sa prelucreze datele cu caracter personal cu depasirea instructiunilor primite de la operator, cu exceptia situatiilor prevazute expres de lege.
(2) Orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de catre operator, care are acces la date cu caracter personal, nu poate sa le prelucreze decat pe baza instructiunilor operatorului, cu exceptia situatiilor prevazute expres de lege.

Articolul 27. - (1) Operatorul este obligat sa tina evidenta tuturor categoriilor de activitati de prelucrare aflate in responsabilitatea sa.
(2) Evidenta prevazuta la alin. (1) cuprinde urmatoarele informatii:
a) denumirea si datele de contact ale operatorului si, dupa caz, ale operatorului asociat si ale responsabilului cu protectia datelor;
b) scopul sau scopurile prelucrarii;
c) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
d) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal care sunt prelucrate;
e) daca este cazul, mentiuni cu privire la desfasurarea activitatii de creare de profiluri;
f) daca este cazul, categoriile de transferuri de date cu caracter personal catre un stat tert sau o organizatie internationala;
g) indicarea temeiului juridic al operatiunii de prelucrare, inclusiv al transferurilor de date cu caracter personal efectuate;
h) daca este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date cu caracter personal;
i) daca este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la art. 35.

Articolul 28. - (1) Persoana imputernicita de catre operator este obligata sa tina evidenta tuturor categoriilor de activitati de prelucrare aflate in responsabilitatea sa.
(2) Evidenta prevazuta la alin. (1) cuprinde urmatoarele informatii:
a) numele si datele de contact ale persoanei sau persoanelor imputernicite de catre operator, ale fiecarui operator in numele caruia actioneaza aceasta persoana si, dupa caz, cele ale responsabilului cu protectia datelor cu caracter personal;
b) categoriile de activitati de prelucrare desfasurate in numele fiecarui operator;
c) dupa caz, transferurile de date cu caracter personal catre un stat tert sau catre o organizatie internationala, inclusiv indicarea statului tert sau a organizatiei internationale respective, atunci cand au primit instructiuni explicite in acest sens de la operator;
d) daca este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la art. 35.

Articolul 29. - (1) Evidentele prevazute la art. 27 si 28 se pastreaza in format hartie si in format electronic.
(2) Operatorul si persoana imputernicita de catre operator au obligatia de a pune la dispozitia autoritatii de supraveghere, la solicitarea acesteia, evidentele prevazute la art. 27 si 28.

Articolul 30. - (1) Operatorul sau persoana imputernicita de catre operator este obligat/obligata sa inregistreze, in cadrul sistemelor de prelucrare automata, toate operatiunile de prelucrare a datelor cu caracter personal.
(2) Inregistrarile prevazute la alin. (1) trebuie sa contina cel putin urmatoarele informatii:
a) tipul operatiunii de prelucrare;
b) codul de identificare a utilizatorului si a statiei de lucru folosite;
c) numele fisierului accesat;
d) numarul operatiunilor de prelucrare efectuate;
e) codul operatiei executate sau programul folosit;
f) data accesului - an, luna, zi, cu precizarea inclusiv a orei si minutului la care a fost efectuata prelucrarea.
(3) In cazul operatiunilor de prelucrare sub forma consultarii sau divulgarii este obligatorie inregistrarea motivului prelucrarii care trebuie sa permita identificarea documentului/situatiei concrete care a stat la baza si a justificat prelucrarea datelor cu caracter personal si, dupa caz, a destinatarilor datelor cu caracter personal.
(4) Inregistrarile prevazute la alin. (1) pot fi utilizate doar in urmatoarele situatii:
a) verificarea legalitatii prelucrarii;
b) monitorizare proprie realizata de catre operator sau, dupa caz, de catre persoana imputernicita de catre operator;
c) asigurarea integritatii si a securitatii datelor cu caracter personal;
d) in cadrul unor proceduri penale, in conditiile si cu restrictiile impuse de lege.
(5) Responsabilul cu protectia datelor cu caracter personal, in realizarea atributiilor sale, are acces la inregistrarile prevazute la alin. (1).
(6) Inregistrarile prevazute la alin. (1) se pun la dispozitia autoritatii de supraveghere, la cererea acesteia.

Articolul 31. - Operatorul sau, dupa caz, persoana imputernicita de catre operator este obligata sa coopereze cu autoritatea de supraveghere, la cererea acesteia, si sa dispuna orice masura necesara indeplinirii sarcinilor acesteia.

Articolul 32. - (1) In situatia in care se intentioneaza introducerea unei noi prelucrari de date cu caracter personal, in special in situatia in care aceasta implica utilizarea de noi tehnologii, operatorul este obligat sa evalueze urmatoarele aspecte ale prelucrarii:
a) natura datelor cu caracter personal prelucrate;
b) domeniul de aplicare;
c) contextul si scopurile prelucrarii.
(2) In masura in care prelucrarea prevazuta la alin. (1) este susceptibila sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor fizice, operatorul este obligat ca inaintea prelucrarii sa efectueze o evaluare a impactului operatiunilor de prelucrare preconizate asupra datelor cu caracter personal.