Coordonator: Av. Marius-Cătălin Preduţ

Prima pagină » Legislaţie » Integral: Legea nr. 363/2018 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau al executarii pedepselor, masurilor educative si de siguranta, precum si privind libera circulatie a acestor date

INTEGRAL: Legea nr. 363/2018 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau al executarii pedepselor, masurilor educative si de siguranta, precum si privind libera circulatie a acestor date


Legea nr. 363/2018 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau al executarii pedepselor, masurilor educative si de siguranta, precum si privind libera circulatie a acestor date

Publicata in Monitorul Partea I nr. 13 din 07.01.2019


Articolul 1. - (1) Prezenta lege reglementeaza prelucrarea datelor cu caracter personal in scopul realizarii activitatilor de prevenire, descoperire, cercetare, urmarire penala si combatere a infractiunilor, de executare a pedepselor, masurilor educative si de siguranta, precum si de mentinere si asigurare a ordinii si sigurantei publice de catre autoritatile competente, in limitele competentelor stabilite prin lege.


(2) Prelucrarea datelor cu caracter personal pentru realizarea activitatilor de mentinere si asigurare a ordinii si sigurantei publice se realizeaza numai daca acestea sunt prevazute de lege si sunt necesare pentru prevenirea unui pericol cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea infractiunilor.

Articolul 2. - (1) Prezenta lege are ca scop protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului la protectia datelor cu caracter personal.
(2) Prezenta lege stabileste conditiile in care se realizeaza libera circulatie a datelor cu caracter personal in scopul realizarii activitatilor prevazute la art. 1.
(3) Libera circulatie a datelor cu caracter personal pe teritoriul national sau in relatia cu statele membre ale Uniunii Europene, circumscrisa realizarii activitatilor prevazute la art. 1, nu poate fi impiedicata din motive legate de protectia persoanei fata de prelucrarile de date cu caracter personal atat timp cat conditiile din prezenta lege sau, dupa caz, din Regulamentul UE 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), denumit in continuare Regulamentul general privind protectia datelor, ori din legislatia nationala de punere in aplicare a acestuia sunt indeplinite.

Articolul 3. - (1) Prezenta lege se aplica prelucrarii datelor cu caracter personal de catre autoritatile competente in scopurile prevazute la art. 1.
(2) Prezenta lege se aplica prelucrarii datelor cu caracter personal realizate integral sau partial prin mijloace automatizate, precum si prelucrarii, prin alte mijloace decat cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa fie incluse intr-un asemenea sistem.
(3) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal efectuate pentru realizarea activitatilor din domeniul apararii nationale si securitatii nationale, in limitele si cu restrictiile stabilite prin legislatia in materie.

Articolul 4. - In sensul prezentei legi, termenii si expresiile de mai jos au urmatoarele semnificatii:
a) date cu caracter personal - orice informatii privind o persoana fizica identificata sau identificabila, denumita in continuare persoana vizata; o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
b) prelucrare - orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvaluirea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
c) restrictionarea prelucrarii - marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;
d) creare de profiluri - orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau a preconiza aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, corectitudinea, comportamentul, localizarea sau deplasarile respectivei persoane fizice;
e) pseudonimizare - prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, in masura in care aceste informatii suplimentare sunt stocate separat si fac obiectul unor masuri de natura tehnica si organizatorica destinate sa garanteze neatribuirea unei persoane fizice identificate sau identificabile;
f) sistem de evidenta a datelor - orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;
g) autoritate competenta - orice autoritate publica sau orice alt organism sau entitate investita cu exercitiul autoritatii de stat, competenta in materie de prevenire, descoperire, cercetare, urmarire penala si combatere a infractiunilor sau de executare a pedepselor, inclusiv in materia mentinerii si asigurarii ordinii si sigurantei publice;
h) operator - autoritatea competenta care, singura sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele de prelucrare sunt stabilite printr-un act normativ, operatorul sau criteriile specifice pentru determinarea acestuia se stabilesc prin actul normativ de referinta;
i) persoana imputernicita de catre operator - persoana fizica sau juridica, institutia/autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
j) destinatar - persoana fizica sau juridica, institutia/autoritatea publica, agentia sau un alt organism caruia ii sunt transmise datele cu caracter personal, fie ca aceasta este sau nu o parte terta; sunt exceptate din intelesul definitiei autoritatile competente care pot primi date cu caracter personal in cadrul unei anchete, in conformitate cu legislatia aplicabila, iar prelucrarea datelor cu caracter personal respective de catre acestea respecta normele aplicabile in materie de protectie a datelor in conformitate cu scopurile prelucrarii;
k) incalcarea securitatii datelor cu caracter personal - orice eveniment, actiune sau inactiune ce poate provoca o incalcare a securitatii, care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod;
l) date genetice - datele cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care ofera informatii unice privind fiziologia sau sanatatea respectivei persoane fizice, astfel cum rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la acea persoana fizica;
m) date biometrice - date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice, referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirma identificarea unica a respectivei persoane fizice, cum ar fi imaginile faciale sau datele dactiloscopice;
n) date privind sanatatea - date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv acordarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;
o) autoritate de supraveghere - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, desemnata potrivit Legii nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare;
p) organizatie internationala - o organizatie si organismele sale subordonate reglementate de dreptul international public sau orice alt organism care este instituit printr-un acord incheiat intre doua sau mai multe state sau in temeiul unui astfel de acord;
q) interoperabilizare - operatiunea de a pune in legatura datele cu caracter personal cuprinse intr-un fisier, intr-o baza de date sau intr-un sistem de evidenta automat cu cele cuprinse intr-unul sau mai multe fisiere, baze de date sau sisteme de evidenta automate care sunt gestionate de operatori diferiti sau de catre acelasi operator, dar avand scopuri diferite, similare sau corelate, dupa caz;
r) evidenta pasiva - fisier sau baza de date cu caracter personal constituita in scopul accesarii limitate si ulterior stergerii datelor stocate din sistemul de evidenta;
s) stat membru - orice stat membru al Uniunii Europene;
s) plan de remediere - anexa la procesul-verbal de constatare si sanctionare a contraventiei, intocmit in conditiile prevazute la art. 62, prin care Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal stabileste masuri si un termen de remediere;
t) masura de remediere - solutie dispusa de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal in planul de remediere in vederea indeplinirii de catre operator sau de catre persoana imputernicita de acesta a obligatiilor prevazute de lege;
t) termen de remediere - perioada de timp cuprinsa intre 60 si 180 de zile de la data comunicarii procesului-verbal de constatare si sanctionare a contraventiei, in care operatorul sau persoana imputernicita de acesta are posibilitatea remedierii neregulilor constatate si indeplinirii obligatiilor legale.

Articolul 5. - (1) Datele cu caracter personal trebuie sa fie:
a) prelucrate in mod legal si echitabil;
b) colectate in scopuri determinate, explicite si legitime si sa nu fie prelucrate intr-un mod incompatibil cu aceste scopuri;
c) adecvate, relevante si neexcesive prin raportare la scopurile in care sunt prelucrate;
d) exacte si, daca este necesar, actualizate; trebuie adoptate toate masurile rezonabile pentru a asigura faptul ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sa fie sterse sau rectificate fara intarziere;
e) pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor pentru care sunt prelucrate datele respective;
f) prelucrate intr-un mod care sa asigure securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.
(2) Datele cu caracter personal pot fi prelucrate pentru realizarea activitatilor prevazute la art. 1 de catre acelasi operator sau de catre alt operator intr-un alt scop decat cel avut in vedere la momentul colectarii datelor cu caracter personal, numai daca sunt indeplinite cumulativ urmatoarele conditii:
a) operatorul este abilitat sa prelucreze astfel de date cu caracter personal in scopul respectiv, in conformitate cu cadrul normativ aplicabil;
b) prelucrarea este necesara si proportionala in raport cu scopul respectiv, in conformitate cu cadrul normativ aplicabil.
(3) Datele cu caracter personal pot fi prelucrate de catre acelasi operator sau de catre alt operator in scopul arhivarii in interes public sau in scopuri stiintifice, statistice sau istorice legate de realizarea activitatilor prevazute la art. 1 alin. (1), cu conditia instituirii unor garantii adecvate pentru drepturile si libertatile persoanelor vizate.
(4) Operatorul este responsabil pentru respectarea prevederilor alin. (1)-(3) si adopta masuri si/sau instituie proceduri pentru a demonstra respectarea acestor prevederi.

Articolul 6. - (1) Actele normative, indiferent de nivelul de legiferare, care instituie prelucrari de date cu caracter personal in scopul realizarii activitatilor prevazute la art. 1, trebuie sa stabileasca cel putin urmatoarele aspecte:
a) contextul general al prelucrarii si obiectivele acesteia;
b) datele cu caracter personal care urmeaza sa fie prelucrate;
c) scopurile prelucrarii;
d) termenele de stocare generale si, dupa caz, specifice a datelor cu caracter personal.
(2) Stabilirea termenelor specifice de pastrare este obligatorie in urmatoarele situatii:
a) prelucrarea datelor cu caracter personal referitoare la minori;
b) prelucrarea categoriilor speciale de date cu caracter personal;
c) prelucrarea datelor cu caracter personal a caror acuratete nu a fost stabilita sau nu a putut fi stabilita;
d) in orice alta situatie in care prelucrarea presupune riscuri majore pentru persoana vizata.
(3) Termenele specifice de stocare nu pot fi mai mari decat jumatate din termenul general de stocare corespunzator scopului prelucrarii.
(4) La implinirea termenelor de stocare, datele cu caracter personal pot fi:
a) arhivate in interes public in conformitate cu legislatia speciala;
b) stocate in evidenta pasiva pentru o durata care nu poate depasi jumatate din termenul initial de stocare;
c) distruse sau sterse prin utilizarea unor proceduri ireversibile, daca nu se incadreaza in una dintre situatiile prevazute la lit. a) sau b).
(5) Prelucrarile de date cu caracter personal bazate pe utilizarea noilor tehnologii sau care sunt de natura sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice pot fi instituite in scopul realizarii activitatilor prevazute la art. 1 numai in temeiul unui act normativ publicat in Monitorul Oficial al Romaniei, Partea I, care sa stabileasca garantii necesar a fi instituite in temeiul prezentei legi.

Articolul 7. - (1) Operatorii dispun masurile necesare in scopul evidentierii in mod distinct si structurarii datelor cu caracter personal, avand in vedere urmatoarele criterii:
a) date referitoare la persoane in privinta carora exista indicii temeinice ca au savarsit sau ca urmeaza sa savarseasca o infractiune, inclusiv cele impotriva carora a fost dispusa o masura preventiva privativa de libertate;
b) date referitoare la persoane condamnate pentru savarsirea unei infractiuni sau persoane fata de care s-a dispus executarea unei masuri educative sau de siguranta;
c) date referitoare la persoane victime ale unei infractiuni sau persoane in privinta carora exista motive sa se creada ca ar putea fi victimele unei infractiuni;
d) date referitoare la alte persoane care au legatura cu infractiunea, precum persoane care ar putea fi chemate sa depuna marturie in cadrul anchetelor legate de infractiuni sau in cadrul procedurilor penale ulterioare sau persoane care pot oferi informatii cu privire la infractiuni sau persoane care sunt in legatura sau asociate cu persoanele prevazute la lit. a) sau b).
(2) Datele cu caracter personal prelucrate in temeiul prezentei legi sunt ordonate in functie de gradul lor de acuratete si exactitate. In acest scop, operatorii dispun masurile necesare pentru realizarea unei distinctii intre date colectate ca urmare a constatarii unor fapte, respectiv date a caror colectare se bazeaza pe perceptia subiectiva a unor persoane fizice.
(3) Operatorii dispun toate masurile necesare pentru ca datele cu caracter personal inexacte, incomplete sau care nu sunt actualizate sa nu fie transmise sau puse la dispozitia destinatarului.
(4) Masurile prevazute la alin. (3) includ si evaluari periodice in scopul asigurarii calitatii datelor cu caracter personal prin raportare la scopul in care au fost colectate si sunt ulterior prelucrate.
(5) Termenele de evaluare sunt stabilite prin acte administrative adoptate de catre operatori, carora li se asigura o forma de publicitate. Frecventa evaluarilor este determinata de scopul in care datele cu caracter personal au fost colectate, calitatea datelor la momentul colectarii, cantitatea datelor, daca sunt prelucrate categorii speciale de date cu caracter personal. In cazul sistemelor automatizate de evidenta, termenele de evaluare nu pot depasi 2 ani de la momentul colectarii, respectiv de la precedenta evaluare.
(6) Evaluarea calitatii datelor cu caracter personal este obligatorie inainte ca datele cu caracter personal sa fie transmise sau puse la dispozitie altui operator.
(7) In situatia transmiterii de date cu caracter personal, in scopul asigurarii calitatii datelor, operatorul poate adauga informatii care sa permita autoritatii competente destinatare sa evalueze:
a) acuratetea datelor;
b) caracterul integral al datelor;
c) utilitatea datelor raportat la scopul prelucrarii;
d) daca acestea sunt actualizate.
(8) In situatia unei transmiteri neconforme cu legislatia in vigoare a unor date cu caracter personal sau in cazul in care se constata ca datele cu caracter personal nu au calitatea necesara, operatorul este obligat sa notifice de indata destinatarul. Datele care au facut obiectul transmiterii sunt, dupa caz:
a) rectificate sau sterse;
b) restrictionate la prelucrare.
(9) Restrictionarea prelucrarii datelor cu caracter personal prevazuta la alin. (8) se dispune doar in una dintre situatiile prevazute la art. 18 alin. (4).

Articolul 8. - (1) Datele cu caracter personal colectate in scopul prevazut la art. 1 nu pot fi prelucrate in alte scopuri, cu exceptia cazurilor prevazute in mod expres de lege.
(2) In situatiile exceptionale prevazute la alin. (1), prelucrarile suplimentare de date cu caracter personal se realizeaza in conformitate cu dispozitiile Regulamentului general privind protectia datelor, cu exceptia activitatilor prevazute la art. 3 alin. (2), situatie in care se aplica dispozitiile corespunzatoare cuprinse in legi speciale.
(3) Datele cu caracter personal colectate de catre autoritatile competente in alte scopuri decat cele necesare indeplinirii activitatilor prevazute la art. 1 alin. (1) sunt prelucrate in conformitate cu dispozitiile Regulamentului general privind protectia datelor, cu exceptia activitatilor prevazute la art. 3 alin. (2), situatie in care se aplica dispozitiile corespunzatoare cuprinse in legi speciale.
(4) Dispozitiile alin. (3) se aplica inclusiv pentru prelucrarea datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice.

Articolul 9. - (1) In situatia prelucrarii datelor cu caracter personal sub forma transferului catre destinatari, autoritatea competenta care transfera datele cu caracter personal are obligatia de a informa destinatarul datelor cu caracter personal cu privire la conditiile specifice de prelucrare si obligatia de a le respecta, in masura in care astfel de conditii sunt impuse de lege.
(2) Destinatarul datelor cu caracter personal are obligatia respectarii conditiilor specifice de prelucrare comunicate in conformitate cu prevederile alin. (1).
(3) In situatia transferului de date cu caracter personal catre destinatari din state membre ale Uniunii Europene sau catre agentii, oficii si organisme instituite in conformitate cu titlul V capitolele 4 si 5 din Tratatul privind functionarea Uniunii Europene, nu pot fi impuse conditii specifice de prelucrare, in conformitate cu prevederile alin. (1), suplimentare fata de cele prevazute de lege pentru transferul catre autoritati competente din Romania.

Articolul 10. - Datele cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice, afilierea sindicala, prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unica a unei persoane fizice, prelucrarea datelor privind sanatatea sau a datelor privind viata sexuala si orientarea sexuala a unei persoane fizice pot fi prelucrate numai daca sunt strict necesare intr-un caz determinat, daca sunt instituite garantii adecvate pentru drepturile si libertatile persoanei vizate si daca este indeplinita una dintre urmatoarele conditii:
a) prelucrarea este prevazuta expres de lege;
b) prelucrarea este necesara pentru prevenirea unui pericol iminent cel putin asupra vietii, integritatii corporale sau sanatatii persoanei vizate sau ale unei alte persoane fizice;
c) prelucrarea se refera la date cu caracter personal care sunt facute publice in mod manifest de persoana vizata.

Articolul 11. -
(1) Adoptarea unei decizii intemeiate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce un efect juridic negativ pentru persoana vizata sau care o afecteaza in mod semnificativ este interzisa, cu exceptia cazului in care prelucrarea este reglementata expres de lege, fiind prevazute garantii adecvate pentru drepturile si libertatile persoanei vizate, inclusiv dreptul de a obtine interventia umana din partea operatorului.
(2) Prelucrarea categoriilor de date cu caracter personal prevazute la art. 10 in scopul adoptarii de decizii in conditiile prevazute la alin. (1) este interzisa, cu exceptia situatiei in care sunt instituite masuri corespunzatoare pentru protejarea drepturilor, a libertatilor si a intereselor legitime ale persoanei vizate.
(3) Crearea de profiluri care au drept rezultat discriminarea persoanelor fizice pe baza criteriilor ce determina categoriile de date prevazute la art. 10 este interzisa.

Articolul 12. - (1) Operatorii sunt obligati sa instituie masurile organizatorice, tehnice si de procedura pentru a furniza persoanei vizate informatiile necesare potrivit prevederilor art. 13 si art. 16-21 si pentru a asigura transmiterea unui raspuns in legatura cu prelucrarile desfasurate in conditiile prevazute la art. 11 sau in legatura cu notificarea persoanelor vizate in cazul aparitiei unui incident de securitate, in conditiile prevederilor art. 39.
(2) Raspunsul trebuie formulat intr-o forma concisa, inteligibila si usor accesibila, utilizand un limbaj clar si simplu.
(3) Comunicarea informatiilor in conditiile prevazute la alin. (2) se realizeaza in acelasi format in care cererea a fost formulata, cu urmatoarele exceptii:
a) identitatea solicitantului nu poate fi stabilita cu exactitate, in conditiile prevazute la alin. (10);
b) formatul ales pentru transmiterea cererii presupune riscuri de prelucrare neautorizata sau ilegala ori de pierdere, distrugere sau deteriorare accidentala, prin raportare la cantitatea de date cu caracter personal, gradul de sensibilitate al informatiei, in special in situatia categoriilor de date prevazute la art. 10 ori a datelor referitoare la minori.
(4) Operatorul este obligat sa instituie masuri organizatorice si de procedura in scopul facilitarii exercitarii drepturilor persoanei vizate in temeiul prevederilor art. 11 si art. 16-21.
(5) Operatorul are obligatia de a informa persoana vizata, in scris, cu privire la modul de solutionare a cererilor formulate in temeiul prezentei legi. Raspunsul se transmite in mod gratuit, in cel mult 60 de zile calendaristice.
(6) In cazul in care cererile din partea unei persoane vizate sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, operatorul poate:
a) sa perceapa o taxa rezonabila care sa tina cont de costurile administrative pentru transmiterea sau comunicarea informatiilor sau pentru luarea masurilor solicitate; sau
b) sa refuze sa dea curs cererii.
(7) Cuantumul taxei prevazute la alin. (6) lit. a) va fi stabilit, respectiv actualizat prin act administrativ emis la nivelul operatorului.
(8) Caracterul nefondat sau excesiv al cererii se stabileste de la caz la caz, in functie de urmatoarele criterii:
a) obiectul cererii;
b) caracterul repetitiv al cererii;
c) existenta unor prelucrari suplimentare de date cu caracter personal, prin raportare la cele desfasurate la momentul formularii cererii precedente.
(9) Caracterul nefondat sau excesiv al cererii, in conditiile prevazute la alin. (6), trebuie demonstrat de operator.
(10) In cazul in care identitatea persoanei care formuleaza o cerere in temeiul prevederilor art. 16 sau 18 nu a putut fi stabilita cu exactitate, operatorul ii solicita acesteia informatii suplimentare necesare pentru confirmarea identitatii.
(11) Informatiile suplimentare colectate potrivit prevederilor alin. (10) nu pot fi prelucrate in niciun alt scop decat pentru confirmarea identitatii si se distrug in termen de 3 ani de la colectare. Operatorul poate stabili termene de pastrare mai mici.

Articolul 13. - Operatorii sunt obligati sa instituie masuri organizatorice, tehnice si de procedura in scopul punerii la dispozitia persoanelor interesate a urmatoarelor categorii de informatii:
a) identitatea si datele de contact ale operatorului;
b) datele de contact ale responsabilului cu protectia datelor, dupa caz;
c) scopurile in care sunt prelucrate datele cu caracter personal;
d) dreptul de a depune o plangere la autoritatea de supraveghere si datele de contact ale acesteia;
e) dreptul de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizata ori rectificarea sau stergerea acestor date sau restrictionarea prelucrarii lor.

Articolul 14. - La cerere, atunci cand legea nu prevede altfel, operatorul comunica persoanei vizate informatiile prevazute la art. 13, precum si urmatoarele informatii suplimentare:
a) temeiul juridic al prelucrarii;
b) perioada pentru care sunt stocate datele cu caracter personal sau, in cazul in care nu este posibil, criteriile utilizate pentru a stabili perioada respectiva;
c) daca este cazul, categoriile de destinatari ai datelor cu caracter personal, inclusiv din state terte sau organizatii internationale;
d) orice alte informatii suplimentare, in functie de specificul activitatilor de prelucrare, in special atunci cand datele cu caracter personal sunt colectate fara stirea persoanei vizate.

Articolul 15. - (1) Operatorul poate dispune, dupa caz, masura amanarii, restrictionarii sau omiterii furnizarii de informatii persoanei vizate in conditiile prevazute la art. 14 numai daca, tinand seama de drepturile fundamentale si interesele legitime ale persoanei vizate, o astfel de masura este necesara si proportionala intr-o societate democratica pentru:
a) evitarea obstructionarii bunei desfasurari a procesului penal;
b) evitarea prejudicierii prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau a executarii pedepselor;
c) protejarea ordinii si sigurantei publice;
d) protejarea securitatii nationale;
e) protejarea drepturilor si libertatilor celorlalti.
(2) Masura amanarii furnizarii de informatii se dispune pe o perioada ce nu poate depasi un an, in situatia in care incidenta conditiilor care fac imposibila comunicarea este limitata in timp. Masura amanarii poate fi prelungita in interiorul termenului de un an. La implinirea termenului pentru care masura amanarii furnizarii de informatii a fost dispusa, operatorul transmite informatiile prevazute de lege.
(3) Persoana vizata este informata in scris, in cel mult 60 de zile calendaristice de la inregistrarea solicitarii, cu privire la masura amanarii furnizarii de informatii si motivul dispunerii acesteia, cu privire la termenul pentru care a fost dispusa aceasta masura, precum si cu privire la faptul ca se poate adresa autoritatii de supraveghere cu plangere impotriva deciziei operatorului sau poate ataca in instanta decizia operatorului.
(4) Masura restrictionarii furnizarii de informatii se dispune in situatia in care incidenta conditiilor care fac imposibila comunicarea nu este limitata in timp. In situatia restrictionarii furnizarii de informatii, operatorul transmite persoanei vizate un raspuns. Forma si continutul raspunsului sunt stabilite de fiecare operator in parte.
(5) Masura omisiunii furnizarii de informatii se dispune in situatia in care chiar si simpla informare a persoanei vizate cu privire la una sau mai multe operatiuni de prelucrare este de natura sa afecteze una dintre activitatile prevazute la alin. (1) lit. a) -d).
(6) Omisiunea furnizarii de informatii poate sa fie partiala sau totala. In situatia omisiunii partiale, persoana vizata este informata, in termen de cel mult 60 de zile calendaristice de la inregistrarea solicitarii, cu privire la categoriile de prelucrari care nu sunt de natura a afecta activitatile prevazute la alin. (1). In situatia omisiunii totale, operatorul transmite persoanei vizate un raspuns. Forma si continutul raspunsului sunt stabilite de fiecare operator in parte.
(7) Operatorul este obligat sa tina evidenta situatiilor in care a fost dispusa masura omiterii furnizarii de informatii si sa documenteze adoptarea acestei masuri.
(8) In luna ianuarie a fiecarui an, operatorul are obligatia de a informa autoritatea de supraveghere cu privire la situatia statistica a masurilor de omisiune a furnizarii de informatii adoptate in anul precedent, defalcat pentru fiecare dintre activitatile prevazute la alin. (1) lit. a) -d).

Articolul 16. - (1) Persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit, confirmarea faptului ca datele cu caracter personal care o privesc sunt sau nu sunt prelucrate de acesta.
(2) Operatorul este obligat, in situatia in care prelucreaza date cu caracter personal care privesc persoana vizata, sa comunice acesteia, in termen de cel mult 60 de zile calendaristice de la inregistrarea solicitarii, in conditiile prevazute la art. 12 alin. (2) si (3), pe langa confirmare, inclusiv datele cu caracter personal care fac obiectul prelucrarii, precum si urmatoarele informatii:
a) scopurile si temeiul juridic al prelucrarii;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari carora le-au fost divulgate datele cu caracter personal, in special destinatarii din state terte sau organizatii internationale;
d) acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, in cazul in care acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
e) dreptul de a solicita de la operator rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata;
f) dreptul de a depune o plangere la autoritatea de supraveghere si datele de contact ale acesteia;
g) comunicarea datelor cu caracter personal care sunt in curs de prelucrare si a oricarei informatii disponibile cu privire la originea datelor cu caracter personal.

Articolul 17. -
(1) Dispozitiile art. 16 nu se aplica daca, tinand seama de drepturile fundamentale si interesele legitime ale persoanei fizice, o astfel de masura este necesara si proportionala intr-o societate democratica pentru:
a) evitarea obstructionarii bunei desfasurari a procesului penal;
b) evitarea prejudicierii prevenirii, descoperirii, cercetarii, urmaririi penale si combaterii infractiunilor sau a executarii pedepselor;
c) protejarea ordinii si sigurantei publice;
d) protejarea securitatii nationale;
e) protejarea drepturilor si libertatilor celorlalti.
(2) Masura limitarii dreptului de acces poate sa fie totala sau partiala si se dispune cu privire la una sau mai multe operatiuni de prelucrare in situatia carora dezvaluirea este de natura sa afecteze una dintre activitatile prevazute la alin. (1).
(3) In situatia prevazuta la alin. (2), persoana vizata poate fi informata cu privire la categoriile de prelucrari care nu sunt de natura a afecta activitatile prevazute la alin. (1), motivul adoptarii acestei masuri, precum si cu privire la posibilitatea de a depune o plangere la autoritatea de supraveghere sau de a se adresa instantei.
(4) Prin exceptie de la dispozitiile alin. (3), motivul adoptarii masurii de limitare a dreptului de acces nu se comunica in situatia in care dezvaluirea acestuia este de natura sa afecteze una dintre activitatile prevazute la alin. (1) lit. a) -d).
(5) Operatorul este obligat sa tina evidenta cazurilor in care a fost dispusa masura de limitare a dreptului de acces si sa documenteze adoptarea acestei masuri.
(6) In luna ianuarie a fiecarui an, operatorul are obligatia de a informa autoritatea de supraveghere cu privire la situatia statistica a cazurilor in care a fost adoptata masura de limitare a dreptului de acces in anul precedent, defalcat pentru fiecare dintre activitatile prevazute la alin. (1).

Articolul 18. - (1) Persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit, rectificarea datelor cu caracter personal inexacte care o privesc.
(2) Persoana vizata are dreptul de a solicita completarea datelor cu caracter personal care o privesc, inclusiv prin furnizarea unei declaratii suplimentare.
(3) Operatorul are obligatia de a sterge, prin proceduri ireversibile, din oficiu sau la cererea persoanei vizate, datele cu caracter personal a caror prelucrare nu este conforma dispozitiilor art. 1 alin. (2), art. 5 sau 10 ori care trebuie sterse in virtutea indeplinirii unei obligatii prevazute expres de lege.
(4) Operatorul are obligatia de a restrictiona prelucrarea datelor cu caracter personal, si nu de a le sterge, in cazul in care este incidenta una dintre urmatoarele situatii:
a) exactitatea datelor cu caracter personal este contestata de persoana vizata, iar exactitatea sau inexactitatea datelor respective nu poate fi stabilita cu certitudine;
b) datele cu caracter personal trebuie sa fie pastrate ca mijloace de proba.
(5) Operatorul este obligat sa comunice persoanei vizate, in conditiile art. 12 alin. (2) - (4), in termen de cel mult 60 de zile calendaristice de la inregistrarea solicitarii, confirmarea sau, dupa caz, infirmarea solutionarii cererilor formulate potrivit prevederilor alin. (1), (2) sau (3), motivele pe care se intemeiaza masura infirmarii, precum si faptul ca se poate adresa cu plangere la autoritatea de supraveghere sau poate ataca in instanta decizia operatorului.
(6) Termenul prevazut la alin. (5) poate fi prelungit cu pana la 60 de zile calendaristice, in masura in care solutionarea cererilor necesita proceduri complexe, in special consultarea unor autoritati competente din strainatate. Persoana vizata este informata cu privire la prelungirea termenului inainte de expirarea termenului initial.
(7) Ridicarea restrictionarii prelucrarii instituite potrivit prevederilor alin. (4) lit. a) se realizeaza de catre operator, concomitent cu notificarea persoanei vizate cu privire la masura adoptata.
(8) Dispozitiile alin. (5) nu se aplica daca, tinand seama de drepturile fundamentale si interesele legitime ale persoanei fizice, o astfel de masura este necesara si proportionala intr-o societate democratica pentru:
a) a evita obstructionarea bunei desfasurari a procesului penal;
b) a nu prejudicia prevenirea, descoperirea, cercetarea, urmarirea penala si combaterea infractiunilor sau executarea pedepselor;
c) a proteja ordinea si siguranta publica;
d) a proteja securitatea nationala;
e) a proteja drepturile si libertatile celorlalti.

Articolul 19. - (1) In situatia rectificarii datelor cu caracter personal potrivit prevederilor art. 18 alin. (1), operatorul are obligatia sa verifice modul in care acestea au fost colectate.
(2) In cazul in care datele cu caracter personal au fost colectate prin transfer de la o autoritate competenta, operatorul are obligatia sa transmita acesteia o notificare cu privire la rectificarea datelor.
(3) In situatia rectificarii, stergerii ori restrictionarii datelor cu caracter personal potrivit prevederilor art. 18 alin. (1), (3) sau (4), operatorul are obligatia sa verifice daca acestea au fost transmise unui destinatar anterior rectificarii.
(4) In cazul in care datele cu caracter personal au fost transmise unui destinatar anterior rectificarii, operatorul are obligatia sa transmita acestuia o notificare cu privire la rectificarea, stergerea ori restrictionarea prelucrarii datelor cu caracter personal, dupa caz.
(5) Destinatarul situat pe teritoriul Romaniei ori caruia i se aplica legea romana are obligatia de a dispune o masura similara celei cu privire la care a fost notificat, cu exceptia incidentei, in cazul stergerii ori restrictionarii datelor cu caracter personal, a uneia dintre urmatoarele situatii:
a) datele sunt necesare pentru prevenirea, descoperirea, cercetarea, urmarirea penala si combaterea infractiunilor ori executarea pedepselor, altele decat cele pentru care au fost transmise;
b) datele sunt necesare pentru derularea altor proceduri judiciare sau administrative direct legate de prevenirea, descoperirea, cercetarea, urmarirea penala si combaterea infractiunilor ori executarea pedepselor;
c) datele sunt necesare pentru prevenirea unui pericol iminent si grav la adresa ordinii si sigurantei publice.
(6) In situatia incidentei vreuneia dintre situatiile prevazute la alin. (5) lit. a) -c), persoana vizata este informata cu aplicarea, dupa caz, a dispozitiilor art. 14, cu privire la masura adoptata, motivele pe care se intemeiaza masura infirmarii, precum si cu privire la faptul ca se poate adresa cu plangere autoritatii de supraveghere sau poate ataca in instanta decizia operatorului.

Articolul 20. - (1) In situatiile prevazute la art. 15, art. 17 alin. (3) sau art. 19 alin. (6), persoana vizata se poate adresa autoritatii de supraveghere pentru exercitarea drepturilor prevazute de lege.
(2) Operatorul are obligatia de a informa persoana vizata cu privire la posibilitatea prevazuta la alin. (1).
(3) In situatia prevazuta la alin. (1), autoritatea de supraveghere intreprinde masurile necesare potrivit atributiilor sale legale.
(4) Autoritatea de supraveghere informeaza persoana vizata cu privire la aspectele constatate, precum si cu privire la posibilitatea de a se adresa instantei de judecata.

Articolul 21. - Art. 13, 16 si 18 se aplica inclusiv in cazul in care datele cu caracter personal sunt cuprinse in hotarari judecatoresti, in cazierul judiciar sau in cadrul procesului penal, cu exceptia situatiilor expres prevazute de lege.

Articolul 22. - (1) Operatorul, tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de gradul de ingerinta in drepturile si libertatile persoanelor fizice, este obligat sa aplice masurile tehnice si organizatorice adecvate pentru a asigura si a fi in masura sa demonstreze efectuarea prelucrarii in conformitate cu prezenta lege.
(2) Masurile adoptate potrivit prevederilor alin. (1) trebuie sa fie proportionale cu operatiunile de prelucrare realizate de catre operator si includ politici corespunzatoare de protectie a datelor cu caracter personal.

Articolul 23. - (1) In scopul punerii in aplicare in mod eficient a principiilor de protectie a datelor cu caracter personal, precum si pentru reducerea la minimum a prelucrarilor de date cu caracter personal, dar si in scopul integrarii garantiilor necesare in cadrul prelucrarii, pentru a indeplini cerintele prezentei legi si pentru a proteja drepturile persoanelor vizate, operatorul este obligat ca, la momentul stabilirii mijloacelor de prelucrare, precum si la cel al prelucrarii efective, sa puna in aplicare masuri tehnice si organizatorice adecvate, avand in vedere:
a) stadiul actual al tehnologiei;
b) costurile de punere in aplicare;
c) natura, domeniul de aplicare, contextul si scopurile prelucrarii;
d) riscurile cu grade diferite de probabilitate si de gravitate la adresa drepturilor si libertatilor persoanelor fizice pe care le prezinta prelucrarea.
(2) Pentru indeplinirea obiectivelor prevazute la alin. (1), operatorul evalueaza, la momentul stabilirii mijloacelor de prelucrare, in scopul identificarii masurilor tehnice si organizatorice adecvate, cel putin posibilitatea introducerii unei solutii de pseudonimizare ori a unei alte solutii tehnice cu efect similar.
(3) Operatorul are obligatia de a pune in aplicare masuri tehnice si organizatorice adecvate prin care sa se asigure ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii.
(4) Obligatia prevazuta la alin. (3) vizeaza:
a) volumul de date cu caracter personal colectate;
b) gradul de prelucrare a acestora;
c) perioada de stocare;
d) accesibilitatea acestora.
(5) Prin masurile dispuse potrivit prevederilor alin. (3) si (4), operatorul trebuie sa se asigure ca datele cu caracter personal nu sunt accesibile, fara interventie umana, unui numar nedefinit de utilizatori.

Articolul 24. - (1) Operatorii asociati se desemneaza printr-un act normativ, in cuprinsul caruia se stabilesc, in comun, scopurile si mijloacele de prelucrare a datelor cu caracter personal.
(2) Actul normativ prevazut la alin. (1) trebuie sa cuprinda o delimitare a responsabilitatilor ce revin fiecaruia dintre operatorii asociati in conditiile prezentei legi.
(3) Actul normativ prevazut la alin. (1) trebuie sa cuprinda cel putin urmatoarele aspecte:
a) modalitatea de exercitare a drepturilor persoanelor vizate, in raport cu oricare dintre operatori;
b) indatoririle fiecaruia dintre operatorii asociati cu privire la furnizarea informatiilor prevazute la art. 13;
c) punctul de contact unic pentru persoanele vizate.
(4) In situatia in care scopurile si mijloacele de prelucrare nu sunt stabilite prin act normativ, responsabilitatile ce revin in conditiile prezentei legi operatorilor asociati pot fi stabilite prin intermediul unui act juridic. Acesta trebuie sa cuprinda elementele prevazute la alin. (3) si este supus obligatiei de punere la dispozitia persoanelor vizate. Obligatia de punere la dispozitie trebuie indeplinita cu minimum 5 zile inainte de intrarea in vigoare a respectivului act juridic.

Articolul 25. - (1) Desemnarea persoanelor imputernicite de catre operator este posibila doar daca exista suficiente garantii pentru punerea in aplicare a masurilor tehnice si organizatorice adecvate, astfel incat prelucrarea sa indeplineasca cerintele prezentei legi si sa asigure protectia drepturilor persoanei vizate.
(2) Desemnarea, de catre o persoana imputernicita de catre operator, a unei alte persoane imputernicite in scopul realizarii uneia sau mai multor operatiuni de prelucrare nu este posibila decat cu acordul scris al operatorului. Acordul scris poate fi emis doar daca sunt indeplinite conditiile prevazute la alin. (1).
(3) Persoana imputernicita de catre operator are obligatia de a informa operatorul cu privire la orice modificari preconizate privind adaugarea sau inlocuirea altor persoane imputernicite de catre operator.
(4) Desemnarea prevazuta la alin. (1) sau, dupa caz, alin. (2) se realizeaza prin intermediul unui contract sau protocol incheiat intre parti, care trebuie sa detalieze:
a) obiectul si durata prelucrarii;
b) natura si scopul prelucrarii;
c) tipul de date cu caracter personal si categoriile de persoane vizate;
d) obligatiile si drepturile operatorului.
(5) Protocolul sau, dupa caz, contractul prevazut la alin. (4) se pune la dispozitia persoanelor vizate si trebuie sa stabileasca in sarcina persoanei imputernicite de catre operator urmatoarele obligatii:
a) sa actioneze numai la instructiunile operatorului;
b) sa garanteze faptul ca persoanele autorizate sa prelucreze date cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie legala de confidentialitate corespunzatoare;
c) sa asiste operatorul prin orice mijloace adecvate pentru a asigura respectarea dispozitiilor privind drepturile persoanei vizate;
d) sa stearga sau sa returneze, din dispozitia operatorului, toate datele cu caracter personal dupa incetarea furnizarii serviciilor de prelucrare a datelor cu caracter personal si sa elimine copiile existente, cu exceptia cazului in care exista o dispozitie legala expresa care il abiliteaza sa stocheze in continuare datele;
e) sa puna la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea dispozitiilor prezentului articol;
f) sa respecte conditiile prevazute la alin. (2) - (4) pentru recrutarea unei alte persoane imputernicite de catre operator.
(6) Protocolul sau, dupa caz, contractul prevazut la alin. (4) poate fi pus la dispozitia persoanelor vizate, la cerere, in format electronic.
(7) Persoana imputernicita de catre operator este considerata operator in cazul in care, prin incalcarea dispozitiilor prezentei legi, aceasta stabileste scopurile si mijloacele de prelucrare pentru datele cu caracter personal puse la dispozitie de catre operator.
(8) In situatia prevazuta la alin. (7), operatorul este exonerat de raspundere numai in situatia in care demonstreaza ca persoana imputernicita de operator a actionat cu rea-credinta.

Articolul 26. - (1) Se interzice persoanei imputernicite de catre operator sa prelucreze datele cu caracter personal cu depasirea instructiunilor primite de la operator, cu exceptia situatiilor prevazute expres de lege.
(2) Orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de catre operator, care are acces la date cu caracter personal, nu poate sa le prelucreze decat pe baza instructiunilor operatorului, cu exceptia situatiilor prevazute expres de lege.

Articolul 27. - (1) Operatorul este obligat sa tina evidenta tuturor categoriilor de activitati de prelucrare aflate in responsabilitatea sa.
(2) Evidenta prevazuta la alin. (1) cuprinde urmatoarele informatii:
a) denumirea si datele de contact ale operatorului si, dupa caz, ale operatorului asociat si ale responsabilului cu protectia datelor;
b) scopul sau scopurile prelucrarii;
c) categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
d) o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal care sunt prelucrate;
e) daca este cazul, mentiuni cu privire la desfasurarea activitatii de creare de profiluri;
f) daca este cazul, categoriile de transferuri de date cu caracter personal catre un stat tert sau o organizatie internationala;
g) indicarea temeiului juridic al operatiunii de prelucrare, inclusiv al transferurilor de date cu caracter personal efectuate;
h) daca este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date cu caracter personal;
i) daca este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la art. 35.

Articolul 28. - (1) Persoana imputernicita de catre operator este obligata sa tina evidenta tuturor categoriilor de activitati de prelucrare aflate in responsabilitatea sa.
(2) Evidenta prevazuta la alin. (1) cuprinde urmatoarele informatii:
a) numele si datele de contact ale persoanei sau persoanelor imputernicite de catre operator, ale fiecarui operator in numele caruia actioneaza aceasta persoana si, dupa caz, cele ale responsabilului cu protectia datelor cu caracter personal;
b) categoriile de activitati de prelucrare desfasurate in numele fiecarui operator;
c) dupa caz, transferurile de date cu caracter personal catre un stat tert sau catre o organizatie internationala, inclusiv indicarea statului tert sau a organizatiei internationale respective, atunci cand au primit instructiuni explicite in acest sens de la operator;
d) daca este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la art. 35.

Articolul 29. - (1) Evidentele prevazute la art. 27 si 28 se pastreaza in format hartie si in format electronic.
(2) Operatorul si persoana imputernicita de catre operator au obligatia de a pune la dispozitia autoritatii de supraveghere, la solicitarea acesteia, evidentele prevazute la art. 27 si 28.

Articolul 30. - (1) Operatorul sau persoana imputernicita de catre operator este obligat/obligata sa inregistreze, in cadrul sistemelor de prelucrare automata, toate operatiunile de prelucrare a datelor cu caracter personal.
(2) Inregistrarile prevazute la alin. (1) trebuie sa contina cel putin urmatoarele informatii:
a) tipul operatiunii de prelucrare;
b) codul de identificare a utilizatorului si a statiei de lucru folosite;
c) numele fisierului accesat;
d) numarul operatiunilor de prelucrare efectuate;
e) codul operatiei executate sau programul folosit;
f) data accesului - an, luna, zi, cu precizarea inclusiv a orei si minutului la care a fost efectuata prelucrarea.
(3) In cazul operatiunilor de prelucrare sub forma consultarii sau divulgarii este obligatorie inregistrarea motivului prelucrarii care trebuie sa permita identificarea documentului/situatiei concrete care a stat la baza si a justificat prelucrarea datelor cu caracter personal si, dupa caz, a destinatarilor datelor cu caracter personal.
(4) Inregistrarile prevazute la alin. (1) pot fi utilizate doar in urmatoarele situatii:
a) verificarea legalitatii prelucrarii;
b) monitorizare proprie realizata de catre operator sau, dupa caz, de catre persoana imputernicita de catre operator;
c) asigurarea integritatii si a securitatii datelor cu caracter personal;
d) in cadrul unor proceduri penale, in conditiile si cu restrictiile impuse de lege.
(5) Responsabilul cu protectia datelor cu caracter personal, in realizarea atributiilor sale, are acces la inregistrarile prevazute la alin. (1).
(6) Inregistrarile prevazute la alin. (1) se pun la dispozitia autoritatii de supraveghere, la cererea acesteia.

Articolul 31. - Operatorul sau, dupa caz, persoana imputernicita de catre operator este obligata sa coopereze cu autoritatea de supraveghere, la cererea acesteia, si sa dispuna orice masura necesara indeplinirii sarcinilor acesteia.

Articolul 32. - (1) In situatia in care se intentioneaza introducerea unei noi prelucrari de date cu caracter personal, in special in situatia in care aceasta implica utilizarea de noi tehnologii, operatorul este obligat sa evalueze urmatoarele aspecte ale prelucrarii:
a) natura datelor cu caracter personal prelucrate;
b) domeniul de aplicare;
c) contextul si scopurile prelucrarii.
(2) In masura in care prelucrarea prevazuta la alin. (1) este susceptibila sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor fizice, operatorul este obligat ca inaintea prelucrarii sa efectueze o evaluare a impactului operatiunilor de prelucrare preconizate asupra datelor cu caracter personal.
(3) Pentru operatiunile de prelucrare existente, operatorii sunt obligati sa realizeze evaluarea prevazuta la alin. (1) si, dupa caz, evaluarea impactului operatiunilor de prelucrare prevazuta la alin. (2) in termen de 2 ani de la intrarea in vigoare a prezentei legi.
(4) Evaluarea impactului operatiunilor de prelucrare prevazuta la alin. (2) cuprinde cel putin urmatoarele:
a) descrierea generala a operatiunilor de prelucrare preconizate;
b) evaluarea riscurilor la adresa drepturilor si libertatilor persoanelor vizate;
c) masurile preconizate in vederea abordarii riscurilor;
d) garantiile, masurile de securitate si mecanismele menite sa asigure protectia datelor cu caracter personal si sa demonstreze respectarea dispozitiilor prezentei legi, luand in considerare drepturile si interesele legitime ale persoanelor vizate si ale celorlalte persoane interesate.

Articolul 33. - (1) Operatorul sau, dupa caz, persoana imputernicita de catre operator este obligat/obligata sa consulte autoritatea de supraveghere inainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidenta a datelor, in situatiile in care:
a) evaluarea impactului asupra protectiei datelor cu caracter personal prevazuta la art. 32 indica faptul ca prelucrarea ar genera un risc ridicat in absenta masurilor luate de operator pentru atenuarea riscului;
b) tipul de prelucrare, in special in cazul in care se utilizeaza noi tehnologii, mecanisme sau proceduri, implica un risc ridicat la adresa drepturilor si libertatilor persoanelor vizate.
(2) In cadrul procedurilor de elaborare a proiectelor de acte normative care reglementeaza prelucrari de date cu caracter personal sau in baza carora vor fi realizate astfel de prelucrari este obligatorie consultarea autoritatii de supraveghere.
(3) Autoritatea de supraveghere este abilitata sa stabileasca o lista a operatiunilor de prelucrare care fac obiectul consultarii prealabile prevazute la alin. (1).
(4) Operatorul sau, dupa caz, persoana imputernicita de catre operator transmite autoritatii de supraveghere, in termen de 30 de zile calendaristice de la finalizare, dar inainte de inceperea prelucrarii, evaluarea prevazuta la art. 32.
(5) La cererea autoritatii de supraveghere, operatorul sau, dupa caz, persoana imputernicita de catre operator pune la dispozitia acesteia orice informatie in scopul evaluarii conformitatii prelucrarii si a riscurilor la adresa protectiei datelor cu caracter personal ale persoanei vizate si a garantiilor aferente.

Articolul 34. - (1) In cazul in care autoritatea de supraveghere constata ca operatiunile de prelucrare pentru care este consultata potrivit prevederilor art. 33 incalca dispozitiile prezentei legi, in special in cazul in care riscul nu a fost identificat sau atenuat intr-o masura suficienta de catre operator, aceasta formuleaza si transmite operatorului sau, dupa caz, persoanei imputernicite de catre operator observatii sau recomandari, in termen de cel mult 30 de zile lucratoare de la data inregistrarii cererii de consultare.
(2) In functie de complexitatea prelucrarii preconizate, termenul prevazut la alin. (1) poate fi prelungit cu 20 de zile lucratoare. Autoritatea de supraveghere informeaza operatorul si, dupa caz, persoana imputernicita de catre operator, in termen de 20 de zile lucratoare de la inregistrarea cererii de consultare, cu privire la prelungirea termenului, inclusiv cu privire la motivele acesteia.
(3) Dreptul autoritatii de supraveghere de a formula observatii sau recomandari, in situatia prevazuta la alin. (1), nu afecteaza in niciun fel exercitarea oricareia dintre competentele acesteia prevazute in Legea nr. 102/2005, cu modificarile si completarile ulterioare.

Articolul 35. - (1) Operatorul sau, dupa caz, persoana imputernicita de catre operator implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator.
(2) La stabilirea nivelului de securitate corespunzator, operatorul sau, dupa caz, persoana imputernicita de acesta are in vedere stadiul actual al tehnologiei si costurile implementarii si tine seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de gradul de ingerinta asupra drepturilor si libertatilor persoanelor fizice, in special cu privire la prelucrarea categoriilor speciale de date cu caracter personal prevazute la art. 10.
(3) In situatia prelucrarilor prin mijloace automate, operatorul sau, dupa caz, persoana imputernicita de catre operator este obligata sa realizeze o evaluare a riscurilor incidente prelucrarilor preconizate.
(4) In urma evaluarii prevazute la alin. (3), operatorul sau, dupa caz, persoana imputernicita de catre operator are obligatia punerii in aplicare a masurilor menite:
a) sa asigure controlul accesului la echipamentele de prelucrare utilizate pentru prelucrare, denumit in continuare controlul accesului la echipamente;
b) sa asigure controlul asupra suporturilor de date, in scopul impiedicarii oricarei citiri, copieri, modificari sau eliminari neautorizate a acestora, denumit in continuare controlul suporturilor de date;
c) sa asigure controlul asupra introducerii de date cu caracter personal, precum si asupra inspectarii, modificarii sau stergerii neautorizate a datelor cu caracter personal stocate, denumit in continuare controlul stocarii;
d) sa asigure controlul asupra utilizarii sistemelor de prelucrare automata cu ajutorul echipamentelor de comunicare a datelor, denumit in continuare controlul utilizatorului;
e) sa asigure faptul ca persoanele autorizate au acces numai la datele cu caracter personal pentru care au autorizare, denumit in continuare controlul accesului la date;
f) sa asigure ca sunt posibile verificarea si identificarea organismelor carora le-au fost transmise sau puse la dispozitie sau s-ar putea sa le fie transmise sau puse la dispozitie date cu caracter personal utilizandu-se echipamente de comunicare a datelor, denumit in continuare controlul comunicarii;
g) sa asigure ca este posibil ca ulterior sa se verifice si sa se identifice datele cu caracter personal introduse in sistemele de prelucrare automata, momentul introducerii datelor cu caracter personal si entitatea care le-a introdus, denumit in continuare controlul introducerii datelor;
h) sa impiedice citirea, copierea, modificarea sau stergerea neautorizata a datelor cu caracter personal in timpul transferurilor de date cu caracter personal sau in timpul transportarii suporturilor de date, denumit in continuare controlul transportarii;
i) sa asigure posibilitatea recuperarii sistemelor instalate in cazul unei intreruperi, denumita in continuare recuperarea;
j) sa asigure functionarea, fiabilitatea si integritatea sistemului, prin instituirea de masuri de raportare a defectiunilor de functionare, precum si de asigurare a imposibilitatii coruperii datelor cu caracter personal stocate din cauza functionarii defectuoase a sistemului.

Articolul 36. - (1) In cazul in care operatorul constata o incalcare a securitatii datelor, notifica fara intarzieri nejustificate autoritatea de supraveghere.
(2) In functie de complexitatea incalcarii securitatii, notificarea prevazuta la alin. (1) se transmite nu mai tarziu de 72 de ore. In aceasta situatie, operatorul este obligat sa transmita si o justificare a intarzierii. Termenul incepe sa curga de la momentul la care operatorul a luat cunostinta despre incalcarea securitatii datelor cu caracter personal.
(3) Notificarea prevazuta la alin. (1) nu este necesara in cazul in care incalcarea securitatii datelor cu caracter personal nu este susceptibila sa genereze un risc la adresa drepturilor si libertatilor persoanelor fizice.
(4) Persoana imputernicita de catre operator are obligatia sa informeze operatorul, fara intarzieri nejustificate, cu privire la existenta unei incalcari a securitatii datelor cu caracter personal.
(5) Operatorul are obligatia sa implementeze toate masurile necesare pentru a se asigura ca persoana imputernicita de catre operator respecta si indeplineste obligatiile ce ii revin potrivit prevederilor alin. (4).
(6) Notificarea prevazuta la alin. (1) trebuie sa contina cel putin urmatoarele informatii:
a) o descriere a naturii incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ de persoane vizate in cauza, precum si categoriile si numarul aproximativ de inregistrari de date cu caracter personal in cauza;
b) numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii;
c) descrierea consecintelor probabile ale incalcarii securitatii datelor cu caracter personal;
d) descrierea masurilor luate sau propuse de operator pentru a remedia incalcarea securitatii datelor cu caracter personal, inclusiv, daca este cazul, a masurilor necesare pentru a atenua eventualele efecte adverse ale acesteia.
(7) In cazul in care nu este posibila furnizarea, in acelasi timp, a informatiilor prevazute la alin. (6), acestea pot fi transmise treptat, fara intarzieri nejustificate, intr-un termen care sa nu depaseasca 48 de ore de la momentul transmiterii notificarii initiale.

Articolul 37. - (1) Operatorul are obligatia sa documenteze toate cazurile de incalcare a securitatii datelor cu caracter personal si sa pastreze documentele pentru o perioada de 5 ani de la transmiterea notificarii prevazute la art. 36.
(2) Documentele prevazute la alin. (1) trebuie sa cuprinda:
a) descrierea situatiei in care a avut loc incalcarea securitatii datelor cu caracter personal;
b) descrierea efectelor acesteia;
c) descrierea masurilor de remediere intreprinse.
(3) Documentele prevazute la alin. (1) trebuie sa permita autoritatii de supraveghere sa verifice respectarea dispozitiilor prezentului articol.

Articolul 38. - (1) Operatorul are obligatia sa transmita informatiile prevazute la art. 36 alin. (6) catre entitatea care, dupa caz, a furnizat datele cu caracter personal sau catre care au fost transmise datele cu caracter personal, in cazul in care incalcarea securitatii datelor implica date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau catre un astfel de operator.
(2) Transmiterea informatiilor potrivit alin. (1) se realizeaza in termenul prevazut la art. 36 alin. (2).

Articolul 39. - (1) In cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor fizice, operatorul informeaza persoana vizata, fara intarzieri nejustificate, dar nu mai mult de 10 zile calendaristice de la notificarea autoritatii de supraveghere, realizata in temeiul prevederilor art. 36, cu privire la incalcarea securitatii datelor cu caracter personal.
(2) Informarea prevazuta la alin. (1) trebuie sa contina o descriere, folosind un limbaj simplu si clar, a naturii incalcarii securitatii datelor cu caracter personal si cel putin informatiile prevazute la art. 36 alin. (6) lit. b) -d).
(3) Informarea prevazuta la alin. (1) nu este necesara in cazul in care este indeplinita oricare dintre urmatoarele conditii:
a) operatorul a pus in aplicare masuri tehnologice si organizatorice adecvate de protectie, incidente in cazul datelor cu caracter personal afectate de incalcarea securitatii datelor cu caracter personal, in special masuri prin care se asigura ca datele cu caracter personal devin neinteligibile oricarei persoane care nu este autorizata sa le acceseze, cum ar fi criptarea;
b) operatorul a luat masuri ulterioare prin care se asigura ca riscul ridicat la adresa drepturilor si libertatilor persoanelor vizate mentionat la alin. (1) nu mai este susceptibil sa se materializeze;
c) necesita un efort disproportionat; in acest caz, informarea se inlocuieste cu informarea publica sau o masura similara prin care persoanele vizate sunt informate intr-un mod la fel de eficace.
(4) In situatia primirii unei notificari potrivit prevederilor art. 36, autoritatea de supraveghere, luand in considerare probabilitatea ca incalcarea securitatii datelor cu caracter personal sa genereze un risc ridicat, poate dispune operatorului sa informeze persoana vizata sau, dupa caz, sa constate ca oricare dintre situatiile prevazute la alin. (3) este incidenta.
(5) Informarea prevazuta la alin. (1) poate fi amanata, restrictionata sau omisa in conditiile prevederilor art. 15.

Articolul 40. - (1) Operatorul este obligat sa desemneze un responsabil cu protectia datelor cu caracter personal.
(2) Instantele sunt exceptate de la obligatia prevazuta la alin. (1) atunci cand actioneaza in exercitiul functiei lor judiciare.
(3) Poate fi desemnata responsabil cu protectia datelor persoana care indeplineste urmatoarele conditii:
a) detine calitati profesionale corespunzatoare;
b) detine cunostinte de specialitate in domeniul legislatiei si practicilor privind protectia datelor cu caracter personal;
c) are capacitatea de a indeplini sarcinile prevazute la art. 42.
(4) Luand in considerare structura organizatorica si dimensiunea lor, mai multe autoritati competente pot desemna acelasi responsabil cu protectia datelor.
(5) Operatorul are obligatia sa publice datele de contact ale responsabilului cu protectia datelor si sa le comunice autoritatii de supraveghere.

Articolul 41. - (1) Operatorul are obligatia de a consulta responsabilul cu protectia datelor cu caracter personal in mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal.
(2) Operatorul are obligatia de a acorda sprijin responsabilului cu protectia datelor cu caracter personal in indeplinirea sarcinilor prevazute la art. 42, in special prin, dar fara a se limita la:
a) asigurarea resurselor necesare pentru indeplinirea sarcinilor;
b) asigurarea accesului la datele cu caracter personal si la operatiunile de prelucrare;
c) asigurarea resurselor necesare pentru mentinerea cunostintelor de specialitate si adaptarea la noile tehnologii.

Articolul 42. - Responsabilul cu protectia datelor indeplineste urmatoarele sarcini principale:
a) informeaza si consiliaza operatorul si angajatii acestuia care efectueaza prelucrarea cu privire la obligatiile care le revin in temeiul prezentei legi si al altor dispozitii legale privind protectia datelor cu caracter personal;
b) monitorizeaza respectarea dispozitiilor prezentei legi, a altor dispozitii legale privind protectia datelor cu caracter personal si a politicilor operatorului in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunilor de constientizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;
c) consiliaza, la cerere, cu privire la evaluarea impactului asupra protectiei datelor cu caracter personal si monitorizarea functionarii acesteia, in conformitate cu art. 32;
d) coopereaza cu autoritatea de supraveghere;
e) este desemnat persoana de contact in relatia cu autoritatea de supraveghere privind aspectele legate de prelucrare, asigurand consultarea prealabila prevazuta la art. 33, precum si, daca este cazul, consultarea cu privire la orice alta chestiune.

Articolul 43. - (1) Transferul de date cu caracter personal care sunt in curs de prelucrare sau care sunt destinate prelucrarii dupa transferul catre un stat tert sau catre o organizatie internationala, inclusiv transferurile ulterioare catre un alt stat tert sau o alta organizatie internationala, poate avea loc doar cu respectarea dispozitiilor prezentei legi si numai daca sunt indeplinite urmatoarele conditii:
a) transferul este necesar pentru realizarea scopurilor prevazute la art. 1;
b) datele cu caracter personal sunt transferate unui operator dintr-o tara terta, care este o autoritate competenta, in sensul art. 4 lit. g), sau unei organizatii internationale, infiintata in scopul prevazut la art. 1;
c) in cazul in care datele cu caracter personal au fost transmise sau au fost puse la dispozitie de catre autoritatile competente ale altui stat membru, acel stat membru a autorizat in prealabil efectuarea transferului, in conformitate cu dreptul sau intern;
d) Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protectie, in temeiul art. 36 din Directiva (UE) 2016/680 a Parlamentului European si a Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor si privind libera circulatie a acestor date si de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, sau, in absenta unei astfel de decizii, exista sau se ofera garantii adecvate in temeiul art. 37 din Directiva sau, in absenta unei decizii privind caracterul adecvat al nivelului de protectie in conformitate cu art. 36 sau a unor garantii adecvate in conformitate cu art. 37, se aplica derogari pentru situatii speciale in conformitate cu art. 38 din aceasta;
e) in cazul unui transfer ulterior catre un alt stat tert sau organizatie internationala, autoritatea competenta care a realizat transferul initial sau o alta autoritate competenta din acelasi stat membru autorizeaza transferul ulterior, tinand seama in mod corespunzator de toti factorii relevanti.
(2) La evaluarea factorilor relevanti pentru transfer, in conditiile alin. (1) lit. e), se au in vedere cel putin urmatoarele aspecte:
a) gravitatea infractiunii;
b) scopul in care datele cu caracter personal au fost transferate initial;
c) nivelul de protectie a datelor cu caracter personal din tara terta sau din organizatia internationala catre care sunt transferate ulterior datele cu caracter personal.
(3) Autoritatile competente romane autorizeaza transferul datelor cu caracter personal catre un stat tert sau catre o organizatie internationala, la cererea unei autoritati competente dintr-un stat membru, numai daca sunt indeplinite conditiile prevazute de prezenta lege.
(4) Autorizarea prevazuta la alin. (3) se transmite cu celeritate, dar nu mai tarziu de 30 de zile calendaristice de la primirea cererii. In situatia in care nu sunt indeplinite conditiile prevazute de prezenta lege pentru autorizarea transferului, autoritatii competente din statul membru care a formulat cererea i se comunica motivele pentru care transferul nu poate fi autorizat.
(5) Autoritatile competente romane pot realiza transferurile fara autorizarea prealabila de catre un alt stat membru, in conformitate cu dispozitiile alin. (1) lit. c), numai daca transferul de date cu caracter personal este necesar pentru prevenirea unei amenintari imediate si grave la adresa ordinii si sigurantei publice a unui stat membru sau a unei tari terte sau a intereselor fundamentale ale unui stat membru, iar autorizarea prealabila nu poate fi obtinuta in timp util. Autoritatea responsabila pentru acordarea unei autorizari prealabile este informata fara intarziere.
(6) Dispozitiile prezentului articol, precum si cele ale art. 44-48 se aplica pentru a se asigura ca nivelul de protectie a persoanelor fizice garantat prin prezenta lege nu este subminat.

Articolul 44. -
(1) Transferul de date cu caracter personal catre o tara terta sau o organizatie internationala este intotdeauna posibil, in conditiile art. 43 alin. (1) lit. d), atunci cand Comisia Europeana a decis ca statul tert, un teritoriu ori una sau mai multe diviziuni administrativ-teritoriale determinate din acel stat tert sau organizatia internationala in cauza asigura un nivel de protectie adecvat.
(2) Transferurile realizate in conditiile alin. (1) nu necesita autorizari speciale.
(3) Autoritatile competente au obligatia, in situatia transferurilor prevazute la alin. (1), sa monitorizeze si sa respecte intocmai dispozitiile actelor de punere in aplicare adoptate de Comisia Europeana.
(4) Decizia Comisiei Europene de abrogare, modificare sau suspendare a unei decizii de adecvare nu aduce atingere transferurilor de date cu caracter personal catre tara terta, catre teritoriul sau catre unul sau mai multe sectoare determinate din acea tara terta sau catre organizatia internationala in cauza in conformitate cu art. 37 si 38.
(5) Autoritatile competente romane au obligatia monitorizarii listei statelor terte, a teritoriilor si diviziunilor administrativ- teritoriale determinate din statele terte si a organizatiilor internationale in cazul carora Comisia Europeana a decis ca nivelul de protectie adecvat este asigurat sau nu mai este asigurat, prin consultarea Jurnalului Oficial al Uniunii Europene si a site-ului web al Comisiei Europene.

Articolul 45. - (1) Prin exceptie de la dispozitiile art. 43 alin. (1) lit. d), in absenta unei decizii adoptate de Comisia Europeana, transferul de date cu caracter personal catre o tara terta sau catre o organizatie internationala poate avea loc atunci cand:
a) au fost stabilite garantii adecvate in ceea ce priveste protectia datelor cu caracter personal printr-un act cu caracter juridic obligatoriu; sau
b) operatorul a evaluat toate circumstantele aferente transferului de date cu caracter personal si a concluzionat ca exista garantii adecvate in ceea ce priveste protectia datelor cu caracter personal.
(2) In scopul indeplinirii conditiilor prevazute la alin. (1) lit. b), operatorul trebuie sa tina cont cel putin de urmatoarele:
a) situatia generala privind respectarea drepturilor omului si a libertatilor fundamentale;
b) legislatia relevanta, atat generala, cat si sectoriala, inclusiv privind ordinea si siguranta publica, apararea, securitatea nationala si dreptul penal, precum si punerea in aplicare a acestei legislatii;
c) accesul autoritatilor publice la datele cu caracter personal;
d) legislatia privind protectia datelor cu caracter personal;
e) masurile privind asigurarea securitatii datelor cu caracter personal;
f) legislatia privind transferul ulterior de date cu caracter personal catre o alta tara terta sau organizatie internationala;
g) drepturile efective si opozabile ale persoanelor vizate si reparatii efective pe cale administrativa si judiciara pentru persoanele vizate ale caror date cu caracter personal sunt transferate.
(3) Operatorul informeaza autoritatea de supraveghere cu privire la transferurile realizate in conditiile alin. (1) lit. b).
(4) Operatorul are obligatia sa tina evidenta transferurilor realizate in conditiile alin. (1) lit. b), precizand cel putin urmatoarele:
a) data si ora transferului;
b) informatii cu privire la autoritatea competenta destinatara;
c) informatii cu privire la justificarea transferului;
d) datele cu caracter personal transferate.
(5) Documentatia prevazuta la alin. (4) se pastreaza pentru o perioada de 10 ani si, la cerere, se pune la dispozitia autoritatii de supraveghere.

Articolul 46. - (1) Prin exceptie de la dispozitiile art. 45 alin. (1) si in cazul in care nu pot fi indeplinite conditiile prevazute la art. 44, un transfer sau o categorie de transferuri de date cu caracter personal catre o tara terta sau catre o organizatie internationala poate avea loc numai in conditiile in care transferul este necesar pentru atingerea unuia dintre urmatoarele scopuri:
a) protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane, cum ar fi prevenirea unui pericol iminent cel putin asupra vietii, integritatii corporale sau sanatatii acestora;
b) protejarea intereselor legitime ale persoanei vizate, in cazul in care exista o dispozitie legala expresa in acest sens;
c) prevenirea unei amenintari imediate si grave la adresa ordinii si sigurantei publice a unui stat membru sau a unei tari terte;
d) in cazuri individuale in scopurile stabilite la art. 1;
e) intr-un caz individual pentru descoperirea, exercitarea sau apararea unui drept in instanta privind scopurile stabilite la art. 1.
(2) Se interzice transferul datelor cu caracter personal in conditiile alin. (1) lit. d) si e) in cazul in care in urma evaluarilor realizate de autoritatea competenta romana care transfera datele cu caracter personal se stabileste ca drepturile si libertatile fundamentale ale persoanei vizate prevaleaza asupra interesului public.
(3) In situatia transferurilor realizate in conditiile alin. (1), dispozitiile art. 45 alin. (4) si (5) se aplica in mod corespunzator.

Articolul 47. - (1) In cazuri individuale specifice, daca sunt indeplinite toate conditiile referitoare la transferul de date cu caracter personal prevazute de prezenta lege, operatorul poate transfera date cu caracter personal catre destinatari din state terte care nu sunt autoritati competente in intelesul prezentei legi, numai daca sunt indeplinite in mod cumulativ urmatoarele conditii:
a) transferul este strict necesar pentru exercitarea unei atributii prevazute de lege in sarcina autoritatii competente romane, in scopul indeplinirii activitatilor prevazute la art. 1;
b) autoritatea competenta romana stabileste ca niciunul dintre drepturile si libertatile fundamentale ale persoanei vizate in cauza nu prevaleaza in fata interesului public care impune transferul in cazul respectiv;
c) din evaluarile realizate de catre autoritatea competenta romana rezulta ca transferul catre o autoritate din tara terta, care este competenta in scopul indeplinirii activitatilor prevazute la art. 1, este ineficient sau necorespunzator, in special din cauza ca transferul nu poate fi realizat in timp util;
d) autoritatea din tara terta, care este competenta in scopul indeplinirii activitatilor prevazute la art. 1, este informata fara intarzieri nejustificate, cu exceptia cazului in care aceasta masura este ineficienta sau necorespunzatoare;
e) autoritatea competenta romana informeaza destinatarul cu privire la scopul sau scopurile determinate exclusive in care aceasta din urma poate sa prelucreze datele cu caracter personal, cu conditia ca o astfel de prelucrare sa fie necesara.
(2) Transferul in conditiile alin. (1) este posibil numai daca destinatarul se angajeaza in scris sa nu prelucreze datele cu caracter personal in alt scop decat cel pentru care au fost transmise, circumscris indeplinirii scopurilor prevazute la art. 1.
(3) Dispozitiile alin. (1) nu afecteaza transferurile de date cu caracter personal stabilite prin tratate incheiate in domeniul cooperarii judiciare in materie penala sau al cooperarii politienesti internationale.
(4) Autoritatea competenta romana informeaza periodic, cel putin o data pe an, autoritatea de supraveghere cu privire la transferurile efectuate in temeiul prezentului articol.
(5) In situatia transferurilor realizate in conditiile alin. (1), dispozitiile art. 43 alin. (4) si (5) se aplica in mod corespunzator.

Articolul 48. - In ceea ce priveste tarile terte si organizatiile internationale, autoritatile competente dispun masuri corespunzatoare pentru:
a) elaborarea de mecanisme de cooperare internationala pentru a facilita asigurarea efectiva a respectarii legislatiei privind protectia datelor cu caracter personal;
b) acordarea de asistenta internationala reciproca in asigurarea respectarii legislatiei din domeniul protectiei datelor cu caracter personal, inclusiv prin notificari, transferul reclamatiilor, asistenta in anchete si schimb de informatii, sub rezerva unor garantii adecvate pentru protectia datelor cu caracter personal si a altor drepturi si libertati fundamentale;
c) implicarea partilor interesate relevante in discutiile si activitatile care au ca scop consolidarea cooperarii internationale in vederea asigurarii respectarii legislatiei din domeniul protectiei datelor cu caracter personal;
d) promovarea schimburilor de legislatie si practici in materie de protectie a datelor cu caracter personal si a documentarii cu privire la acestea, inclusiv in ceea ce priveste eventualele conflicte de jurisdictie cu tarile terte.

Articolul 49. - (1) Pentru realizarea activitatilor de cercetare si combatere a infractiunilor, sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care operatorii le detin, pentru scopuri diferite, pot fi interoperabilizate.
(2) In scopul prevazut la alin. (1), interoperabilizarea sistemelor de evidenta a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal se poate realiza si cu sistemele de evidenta ori cu mijloacele automate de prelucrare a datelor cu caracter personal detinute de alti operatori, autoritati si institutii publice nationale.
(3) Interoperabilizarile prevazute la alin. (1) si (2) sunt posibile numai cu consultarea prealabila a autoritatii de supraveghere.
(4) In scopul prevazut la alin. (1), interoperabilizarea sistemelor de evidenta a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal se poate realiza si cu sistemele de evidenta sau cu mijloacele automate de prelucrare a datelor cu caracter personal detinute de alti operatori, entitati de drept privat.
(5) Interoperabilizarile prevazute la alin. (4) sunt permise numai in scopul efectuarii urmaririi penale, in baza unei ordonante emise de procurorul competent sa efectueze ori sa supravegheze urmarirea penala intr-un caz determinat, ori, in cazul judecarii unei infractiuni, de completul de judecata investit cu solutionarea cauzei.
(6) Accesul direct sau printr-un serviciu de comunicatii electronice la un sistem de evidenta a datelor cu caracter personal care face obiectul interoperabilizarii, potrivit alin. (1), este permis numai in conditiile legii si cu respectarea prevederilor art. 1.

Articolul 50. - (1) In cazul activitatilor de prevenire a infractiunilor, de mentinere si de asigurare a ordinii si sigurantei publice, sistemele de evidenta a datelor cu caracter personal sau mijloacele automate de prelucrare a datelor cu caracter personal pot fi interoperabilizate cu:
a) Registrul national de evidenta a persoanelor;
b) Registrul national de evidenta a pasapoartelor simple;
c) Registrul national de evidenta a permiselor de conducere si a vehiculelor inmatriculate.
(2) In cazul activitatilor prevazute la alin. (1), sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le detin operatorii, pentru scopuri similare ori corelate, pot fi interoperabilizate.
(3) Interoperabilizarile prevazute la alin. (1) si (2) se aduc la cunostinta autoritatii de supraveghere.
(4) In cazul activitatilor prevazute la alin. (1) se pot interoperabiliza sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le detin pentru scopuri diferite, numai cu acordul prealabil al autoritatii de supraveghere.

Articolul 51. - (1) Supravegherea prelucrarilor de date cu caracter personal efectuate in temeiul prezentei legi, in scopul protejarii drepturilor si libertatilor fundamentale ale persoanelor fizice, in ceea ce priveste prelucrarea si in vederea facilitarii liberei circulatii a datelor cu caracter personal in cadrul Uniunii Europene, se realizeaza de catre autoritatea de supraveghere.
(2) Autoritatea de supraveghere coopereaza cu autoritati similare din alte state membre, precum si cu Comisia, in conformitate cu art. 56.

Articolul 52. - (1) Autoritatea de supraveghere monitorizeaza si controleaza sub aspectul legalitatii prelucrarile de date cu caracter personal care intra sub incidenta prezentei legi.
(2) Prin exceptie de la alin. (1), autoritatea de supraveghere nu este competenta sa supravegheze operatiunile de prelucrare ale instantelor atunci cand acestea actioneaza in exercitiul functiei lor judiciare.
(3) In acest scop, autoritatea de supraveghere indeplineste sarcinile prevazute la art. 57 alin. (1) lit. b), c) si t) din Regulamentul (UE) 2016/679, precum si urmatoarele:
a) promoveaza actiuni de constientizare in randurile operatorilor si ale persoanelor imputernicite de acestia cu privire la obligatiile care le revin in temeiul prezentei legi;
b) furnizeaza informatii, la cerere, oricarei persoane vizate in legatura cu exercitarea drepturilor sale in temeiul prezentei legi si, daca este cazul, coopereaza cu autoritatile de supraveghere din alte state membre in acest scop;
c) primeste plangerile depuse de o persoana vizata sau de un organism, o organizatie sau o asociatie, in conformitate cu art. 55 sau 57, investigheaza intr-o masura adecvata obiectul plangerii si informeaza persoana care a depus plangerea cu privire la evolutia si rezultatul investigatiei, intr-un termen rezonabil, in special daca este necesara efectuarea unei investigatii mai amanuntite sau coordonarea cu o alta autoritate de supraveghere;
d) verifica legalitatea prelucrarii in conformitate cu art. 20 si informeaza persoana vizata, intr-un termen rezonabil, cu privire la rezultatul verificarii in temeiul art. 20 alin. (3) sau cu privire la motivele pentru care nu a avut loc verificarea;
e) coopereaza, inclusiv prin schimb de informatii, cu alte autoritati de supraveghere si isi ofera reciproc asistenta pentru a asigura consecventa aplicarii si respectarii prezentei legi;
f) desfasoara investigatii privind aplicarea prezentei legi, inclusiv pe baza unor informatii primite de la o alta autoritate de supraveghere sau autoritate publica;
g) monitorizeaza evolutiile relevante, in masura in care acestea au impact asupra protectiei datelor cu caracter personal, in special evolutia tehnologiilor informatiilor si comunicatiilor;
h) ofera consiliere cu privire la operatiunile de prelucrare mentionate la art. 33 si 34.

Articolul 53. - (1) In exercitarea competentelor de investigare, autoritatea de supraveghere are acces la toate datele cu caracter personal prelucrate de operator si persoana imputernicita de operator, precum si la toate informatiile necesare pentru indeplinirea sarcinilor sale.
(2) Autoritatii de supraveghere ii revin urmatoarele competente:
a) de a emite avertizari in atentia unui operator sau a unei persoane imputernicite de operator cu privire la probabilitatea ca operatiunile de prelucrare vizate sa incalce prevederile prezentei legi;
b) de a dispune operatorului sau persoanei imputernicite de catre operator sa asigure conformitatea operatiunilor de prelucrare cu prevederile prezentei legi, specificand, dupa caz, modalitatea si termenul-limita pentru aceasta, in special dispunand rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii acestora, in conformitate cu art. 18;
c) de a dispune limitarea temporara sau definitiva ori interdictia prelucrarilor.
(3) Autoritatea de supraveghere ofera consiliere operatorului in conformitate cu procedura de consultare prealabila mentionata la art. 33 si 34 si emite avize, din proprie initiativa sau la cerere, Parlamentului, Guvernului sau altor institutii si organisme, precum si publicului, cu privire la orice aspect legat de protectia datelor cu caracter personal.

Articolul 54. - Autoritatile competente instituie mecanisme eficiente de incurajare a denuntarii confidentiale a cazurilor de incalcare a prezentei directive.

Articolul 55. - Autoritatea de supraveghere intocmeste un raport anual cu privire la activitatile sale, care poate include o lista a cazurilor de incalcare notificate si natura sanctiunilor aplicate. Rapoartele se transmit Parlamentului si Guvernului. Rapoartele se pun la dispozitia publicului, a Comisiei si a Comitetului European pentru Protectia Datelor.

Articolul 56. - (1) Autoritatea de supraveghere coopereaza cu institutii similare din strainatate si asigura reprezentarea in cadrul Comitetului European pentru Protectia Datelor.
(2) Dispozitiile Legii nr. 102/2005, cu modificarile si completarile ulterioare, referitoare la cooperarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu institutii similare din strainatate, sunt aplicabile in mod corespunzator.

Articolul 57. - (1) In cazul in care persoana vizata considera ca prelucrarea datelor cu caracter personal care o vizeaza incalca dispozitiile prezentei legi, are dreptul de a se adresa cu plangere autoritatii de supraveghere.
(2) Dispozitiile Regulamentului general privind protectia datelor sunt aplicabile in mod corespunzator.

Articolul 58. - Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au dreptul de a se adresa instantei pentru apararea oricaror drepturi garantate de prezenta lege, care le-au fost incalcate.

Articolul 59. -
In scopul apararii drepturilor sale, persoana vizata are dreptul de a mandata un organism, o organizatie sau o asociatie, care nu are scop lucrativ, constituita in conditiile legii, ale carei obiective statutare sunt de interes public si care este activa in domeniul protectiei drepturilor si libertatilor persoanelor vizate in ceea ce priveste protectia datelor cu caracter personal, sa depuna plangerea in numele sau si sa exercite in numele sau drepturile prevazute de prezenta lege.

Articolul 60. - (1) Orice persoana care a suferit prejudicii materiale sau morale ca urmare a unei operatiuni de prelucrare ilegale sau a oricarei actiuni care incalca dispozitiile prezentei legi are dreptul de a obtine despagubiri, in conditiile legii, pentru prejudiciul cauzat de operator sau de o alta autoritate competenta.
(2) Daca, in situatia prelucrarilor automate de date cu caracter personal, nu este posibila determinarea operatorului de date cu caracter personal care a cauzat prejudiciul, fiecare dintre operatorii de date cu caracter personal implicati in operatiunea de prelucrare este considerat a fi responsabil.

Articolul 61. - (1) Constituie contraventie incalcarea de catre operator sau, dupa caz, de catre persoana imputernicita de operator a obligatiilor acestora in conformitate cu art. 11 si 22-42 din prezenta lege.
(2) Constituie contraventie incalcarea de catre operator sau, dupa caz, de catre persoana imputernicita de operator a dispozitiilor art. 10 din prezenta lege.
(3) Contraventiile prevazute la alin. (1) si (2) se sanctioneaza cu amenda de la 10.000 lei pana la 100.000 lei.
(4) Constituie contraventie incalcarea de catre operator sau, dupa caz, de catre persoana imputernicita de operator a normelor prevazute la art. 5.
(5) Constituie contraventie incalcarea de catre operator sau, dupa caz, de catre persoana imputernicita de operator a drepturilor persoanelor vizate in conformitate cu art. 12-21.
(6) Constituie contraventie incalcarea de catre operator sau, dupa caz, de catre persoana imputernicita de operator a dispozitiilor referitoare la transferurile de date cu caracter personal catre un destinatar dintr-o tara terta sau o organizatie internationala, in conformitate cu art. 44-49.
(7) Constituie contraventie incalcarea de catre operator sau, dupa caz, de catre persoana imputernicita de operator a dispozitiilor emise de catre autoritatea de supraveghere in temeiul art. 53 alin. (2) sau neacordarea accesului autoritatii de supraveghere, prin incalcarea dispozitiilor art. 53 alin. (1).
(8) Contraventiile prevazute la alin. (4) - (7) se sanctioneaza cu amenda de la 20.000 lei pana la 200.000 lei.

Articolul 62. - (1) In cazul constatarii incalcarii prevederilor prezentei legi de catre operator sau, dupa caz, de catre persoana imputernicita de operator, autoritatea de supraveghere incheie un proces-verbal de constatare si sanctionare a contraventiei prin care se aplica sanctiunea avertismentului, conform art. 58 alin. (2) lit. b) din Regulamentul general privind protectia datelor, si la care anexeaza un plan de remediere.
(2) Termenul de remediere se stabileste in functie de riscurile asociate prelucrarii, precum si demersurile necesar a fi indeplinite pentru asigurarea conformitatii prelucrarii.
(3) In termen de 10 zile de la data expirarii termenului de remediere, autoritatea de supraveghere poate sa reia controlul.
(4) In cazul in care operatorul sau, dupa caz, persoana imputernicita de operator constata ca nu poate indeplini in termenul stabilit, din motive intemeiate, o parte din masurile dispuse prin planul de remediere, notifica autoritatea de supraveghere cu privire la acest aspect cu cel putin 10 zile inainte de expirarea termenului, putand solicita totodata prelungirea termenului initial.
(5) Autoritatea de supraveghere analizeaza solicitarea de prelungire a termenului si comunica raspunsul operatorului sau, dupa caz, persoanei imputernicite de catre operator, in termen de 7 zile de la primirea cererii.
(6) Daca autoritatea de supraveghere considera justificata cererea operatorului sau, dupa caz, a persoanei imputernicite de catre operator, poate prelungi termenul de remediere cu pana la 30 de zile. In caz contrar, se aplica prevederile de la alin. (3).
(7) Responsabilitatea indeplinirii masurilor de remediere revine operatorului sau, dupa caz, persoanei imputernicite de operator, care, potrivit legii, poarta raspunderea contraventionala pentru faptele constatate.
(8) Modelul planului de remediere care se anexeaza la procesul-verbal de constatare si sanctionare a contraventiei este prevazut in anexa la prezenta lege.

Articolul 63. - Daca, la reluarea controlului, autoritatea de supraveghere constata faptul ca operatorul nu a adus la indeplinire in totalitate masurile prevazute in planul de remediere, aceasta, in functie de circumstantele fiecarui caz in parte, poate aplica sanctiunea contraventionala a amenzii.

Articolul 64. - La data intrarii in vigoare a prezentei legi, Legea nr. 238/2009 privind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului Administratiei si Internelor in activitatile de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice, republicata in Monitorul Oficial al Romaniei, Partea I, nr. 474 din 12 iulie 2012, se abroga.

Articolul 65. - Prevederile art. 61 intra in vigoare la 30 de zile de la data publicarii prezentei legi in Monitorul Oficial al Romaniei, Partea I.





Consultă un avocat online
MCP Cabinet avocati - Specializati in litigii de munca, comerciale, civile si de natura administrativa.

Legislaţie

HG nr. 4/2021 pentru stabilirea salariului de baza minim brut pe tara garantat in plata in anul 2021
Hotararea nr. 4/2021 pentru stabilirea salariului de baza minim brut pe tara garantat in plata Mo ...

Legea nr. 2/2021 privind unele masuri pentru prevenirea si combaterea antitiganismului
Legea nr. 2/2021 privind unele masuri pentru prevenirea si combaterea antitiganismului Monitorul ...

OUG 225/2020 privind modificarea unor acte normative si stabilirea unor masuri in domeniul agriculturii
Ordonanta de urgenta nr. 225/2020 privind modificarea unor acte normative si stabilirea unor masuri ...

OUG 220/2020 privind aplicarea unor masuri de protectie sociala dupa 1 ianuarie 2021 in contextul raspandirii coronavirusului SARS-CoV-2, precum si pe
Ordonanta de urgenta nr. 220/2020 privind aplicarea unor masuri de protectie sociala dupa 1 ianuarie ...

OUG 212/2020 privind stabilirea unor masuri la nivelul administratiei publice centrale si pentru modificarea si completarea unor acte normative
Ordonanta de urgenta nr. 212/2020 privind stabilirea unor masuri la nivelul administratiei publice c ...

Legea 298/2020 pentru completarea Codului muncii. Codul muncii 2021
Legea nr. 298/2020 pentru completarea Legii nr. 53/2003 - Codul muncii Monitorul Oficial, Partea ...

Codul muncii actualizat 2021, Integral PDF
CODUL MUNCII, Legea nr. 53/2003, Republicata si actualizata 2021 ...

Legea nr. 296/2020 pentru modificarea si completarea Legii nr. 227/2015 privind Codul fiscal
Legea nr. 296/2020 pentru modificarea si completarea Legii nr. 227/2015 privind Codul fiscal Moni ...

Legea nr. 295/2020 pentru modificarea si completarea Legii nr. 207/2015 privind Codul de procedura fiscala, precum si aprobarea unor masuri fiscal-bug
Legea nr. 295/2020 pentru modificarea si completarea Legii nr. 207/2015 privind Codul de procedura f ...



Articole Juridice

Contract individual de munca, Model 2021. PDF si Word editabil
Sursa: MCP Cabinet avocati

Libera prestare a serviciilor si a celor ale lucratorilor lor detasati intr-un stat membru gazda. Respectarea conditii de concurenta echitabile intre
Sursa: EuroAvocatura.ro

Un serviciu care pune in legatura directa, prin intermediul unei aplicatii electronice, clienti si soferi de taxi constituie un serviciu al societatii
Sursa: EuroAvocatura.ro

Diferenta de tratament bazata indirect pe religie. Refuzul unui tratament medical
Sursa: Curtea de Justitie a Uniunii Europene

Dobandirea calitatii de notar public de catre judecatorii Curtii Constitutionale. Studiu de caz
Sursa: Dobre Ion

Particularitati privind procedura concilierii in litigiile de munca
Sursa: avocat Andreea-Cristina Deaconu | MCP Cabinet avocati

Consultantul extern specializat in legislatia muncii. Calitate, atributii si responsabilitati
Sursa: avocat Gales Iulian | MCP Cabinet avocati



Jurisprudenţă

Decizia nr. 30/2020 privind examinarea recursului in interesul legii privind cauza reala si serioasa a concedierii. Selectarea salariatilor ce ar urma
Pronuntaţă de: Inalta Curte de Casatie si Justitie

Hotararea CEDO in cauza Michnea impotriva Romaniei. Respectarea vietii de familie
Pronuntaţă de: Curtea Europeana a Drepturilor Omului

Hotararea CEDO in Cauza Dimitrie Dan Popescu si altii impotriva Romaniei. Imposibilitatea de a se bucura de dreptul de proprietate
Pronuntaţă de: Curtea Europeana a Drepturilor Omului

Limitele de competenta ale A.S.F. Petitie adresata Autoritatii de Supraveghere Financiara (A.S.F.) avand ca obiect contestarea modului de solutionare
Pronuntaţă de: I.C.C.J, Sectia de contencios administrativ si fiscal, decizia nr. 438 din 29 ianuarie 2020

Cerere de acordare a unor masuri reparatorii prin echivalent aferente unui imobil preluat abuziv in perioada comunista. Obligatia dovedirii calitatii
Pronuntaţă de: I.C.C.J., Sectia de contencios administrativ si fiscal, decizia nr. 708 din 10 februarie 2020

Contract de achizitie publica. Aprecierea indeplinirii conditiei referitoare la existenta unor „circumstante imprevizibile”
Pronuntaţă de: I.C.C.J , Sectia de contencios administrativ si fiscal, decizia nr. 468 din 29 ianuarie 2020

Cerere in despagubiri pentru paguba suferita printr-un act administrativ-fiscal nelegal. Conditiile antrenarii raspunderii patrimoniale a autoritatii
Pronuntaţă de: I.C.C.J - Sectia de contencios administrativ si fiscal, decizia nr. 1160 din 26 februarie 2020

Ştiri Juridice