Legea nr. 363/2018 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau al executarii pedepselor, masurilor educative si de siguranta, precum si privind libera circulatie a acestor date

c) descrierea masurilor de remediere intreprinse.
(3) Documentele prevazute la alin. (1) trebuie sa permita autoritatii de supraveghere sa verifice respectarea dispozitiilor prezentului articol .

Articolul 38. - (1) Operatorul are obligatia sa transmita informatiile prevazute la art. 36 alin. (6) catre entitatea care, dupa caz, a furnizat datele cu caracter personal sau catre care au fost transmise datele cu caracter personal, in cazul in care incalcarea securitatii datelor implica date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau catre un astfel de operator .
(2) Transmiterea informatiilor potrivit alin. (1) se realizeaza in termenul prevazut la art. 36 alin. (2).

Articolul 39. - (1) In cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor fizice, operatorul informeaza persoana vizata, fara intarzieri nejustificate, dar nu mai mult de 10 zile calendaristice de la notificarea autoritatii de supraveghere, realizata in temeiul prevederilor art. 36, cu privire la incalcarea securitatii datelor cu caracter personal.
(2) Informarea prevazuta la alin. (1) trebuie sa contina o descriere, folosind un limbaj simplu si clar, a naturii incalcarii securitatii datelor cu caracter personal si cel putin informatiile prevazute la art. 36 alin. (6) lit. b) -d).
(3) Informarea prevazuta la alin. (1) nu este necesara in cazul in care este indeplinita oricare dintre urmatoarele conditii:
a) operatorul a pus in aplicare masuri tehnologice si organizatorice adecvate de protectie, incidente in cazul datelor cu caracter personal afectate de incalcarea securitatii datelor cu caracter personal, in special masuri prin care se asigura ca datele cu caracter personal devin neinteligibile oricarei persoane care nu este autorizata sa le acceseze, cum ar fi criptarea;
b) operatorul a luat masuri ulterioare prin care se asigura ca riscul ridicat la adresa drepturilor si libertatilor persoanelor vizate mentionat la alin. (1) nu mai este susceptibil sa se materializeze;
c) necesita un efort disproportionat; in acest caz, informarea se inlocuieste cu informarea publica sau o masura similara prin care persoanele vizate sunt informate intr-un mod la fel de eficace.
(4) In situatia primirii unei notificari potrivit prevederilor art. 36, autoritatea de supraveghere, luand in considerare probabilitatea ca incalcarea securitatii datelor cu caracter personal sa genereze un risc ridicat, poate dispune operatorului sa informeze persoana vizata sau, dupa caz, sa constate ca oricare dintre situatiile prevazute la alin. (3) este incidenta .
(5) Informarea prevazuta la alin. (1) poate fi amanata, restrictionata sau omisa in conditiile prevederilor art. 15.

Articolul 40. - (1) Operatorul este obligat sa desemneze un responsabil cu protectia datelor cu caracter personal.
(2) Instantele sunt exceptate de la obligatia prevazuta la alin. (1) atunci cand actioneaza in exercitiul functiei lor judiciare.
(3) Poate fi desemnata responsabil cu protectia datelor persoana care indeplineste urmatoarele conditii:
a) detine calitati profesionale corespunzatoare;
b) detine cunostinte de specialitate in domeniul legislatiei si practicilor privind protectia datelor cu caracter personal;
c) are capacitatea de a indeplini sarcinile prevazute la art. 42.
(4) Luand in considerare structura organizatorica si dimensiunea lor, mai multe autoritati competente pot desemna acelasi responsabil cu protectia datelor.
(5) Operatorul are obligatia sa publice datele de contact ale responsabilului cu protectia datelor si sa le comunice autoritatii de supraveghere .

Articolul 41. - (1) Operatorul are obligatia de a consulta responsabilul cu protectia datelor cu caracter personal in mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal.
(2) Operatorul are obligatia de a acorda sprijin responsabilului cu protectia datelor cu caracter personal in indeplinirea sarcinilor prevazute la art. 42, in special prin, dar fara a se limita la:
a) asigurarea resurselor necesare pentru indeplinirea sarcinilor;
b) asigurarea accesului la datele cu caracter personal si la operatiunile de prelucrare;
c) asigurarea resurselor necesare pentru mentinerea cunostintelor de specialitate si adaptarea la noile tehnologii.

Articolul 42. - Responsabilul cu protectia datelor indeplineste urmatoarele sarcini principale:
a) informeaza si consiliaza operatorul si angajatii acestuia care efectueaza prelucrarea cu privire la obligatiile care le revin in temeiul prezentei legi si al altor dispozitii legale privind protectia datelor cu caracter personal;
b) monitorizeaza respectarea dispozitiilor prezentei legi, a altor dispozitii legale privind protectia datelor cu caracter personal si a politicilor operatorului in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunilor de constientizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;
c) consiliaza, la cerere, cu privire la evaluarea impactului asupra protectiei datelor cu caracter personal si monitorizarea functionarii acesteia, in conformitate cu art. 32;
d) coopereaza cu autoritatea de supraveghere;
e) este desemnat persoana de contact in relatia cu autoritatea de supraveghere privind aspectele legate de prelucrare, asigurand consultarea prealabila prevazuta la art. 33, precum si, daca este cazul, consultarea cu privire la orice alta chestiune.

Articolul 43. - (1) Transferul de date cu caracter personal care sunt in curs de prelucrare sau care sunt destinate prelucrarii dupa transferul catre un stat tert sau catre o organizatie internationala, inclusiv transferurile ulterioare catre un alt stat tert sau o alta organizatie internationala, poate avea loc doar cu respectarea dispozitiilor prezentei legi si numai daca sunt indeplinite urmatoarele conditii:
a) transferul este necesar pentru realizarea scopurilor prevazute la art. 1;
b) datele cu caracter personal sunt transferate unui operator dintr-o tara terta, care este o autoritate competenta, in sensul art. 4 lit. g), sau unei organizatii internationale, infiintata in scopul prevazut la art. 1;
c) in cazul in care datele cu caracter personal au fost transmise sau au fost puse la dispozitie de catre autoritatile competente ale altui stat membru, acel stat membru a autorizat in prealabil efectuarea transferului, in conformitate cu dreptul sau intern;
d) Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protectie, in temeiul art. 36 din Directiva (UE) 2016/680 a Parlamentului European si a Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor si privind libera circulatie a acestor date si de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, sau, in absenta unei astfel de decizii, exista sau se ofera garantii adecvate in temeiul art. 37 din Directiva sau, in absenta unei decizii privind caracterul adecvat al nivelului de protectie in conformitate cu art. 36 sau a unor garantii adecvate in conformitate cu art. 37, se aplica derogari pentru situatii speciale in conformitate cu art. 38 din aceasta;
e) in cazul unui transfer ulterior catre un alt stat tert sau organizatie internationala, autoritatea competenta care a realizat transferul initial sau o alta autoritate competenta din acelasi stat membru autorizeaza transferul ulterior, tinand seama in mod corespunzator de toti factorii relevanti.
(2) La evaluarea factorilor relevanti pentru transfer, in conditiile alin. (1) lit. e), se au in vedere cel putin urmatoarele aspecte:
a) gravitatea infractiunii;
b) scopul in care datele cu caracter personal au fost transferate initial;
c) nivelul de protectie a datelor cu caracter personal din tara terta sau din organizatia internationala catre care sunt transferate ulterior datele cu caracter personal .
(3) Autoritatile competente romane autorizeaza transferul datelor cu caracter personal catre un stat tert sau catre o organizatie internationala, la cererea unei autoritati competente dintr-un stat membru, numai daca sunt indeplinite conditiile prevazute de prezenta lege.
(4) Autorizarea prevazuta la alin. (3) se transmite cu celeritate, dar nu mai tarziu de 30 de zile calendaristice de la primirea cererii. In situatia in care nu sunt indeplinite conditiile prevazute de prezenta lege pentru autorizarea transferului, autoritatii competente din statul membru care a formulat cererea i se comunica motivele pentru care transferul nu poate fi autorizat.
(5) Autoritatile competente romane pot realiza transferurile fara autorizarea prealabila de catre un alt stat membru, in conformitate cu dispozitiile alin. (1) lit. c), numai daca transferul de date cu caracter personal este necesar pentru prevenirea unei amenintari imediate si grave la adresa ordinii si sigurantei publice a unui stat membru sau a unei tari terte sau a intereselor fundamentale ale unui stat membru, iar autorizarea prealabila nu poate fi obtinuta in timp util. Autoritatea responsabila pentru acordarea unei autorizari prealabile este informata fara intarziere.