LEGISLAŢIE

A. Legislaţie comunitară (acquis relevant)

- Convenţia de implementare a Acordului Schenghen - art. 102-118 - protecţia datelor personale în SIS şi art. 126-130 - protecţia datelor cu caracter personal;
- Convenţia pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal;
- Directiva Consiliului 95/46/EC a Parlamentului European şi a Consiliului European din 24 octombrie 1995 cu privire la ptotecţia persoanelor referitoare la procesarea datelor personale şi la libera circulaţie a acestor date (OJL 281, 23.11.1995, p.31);
- Directiva 2002/58/EC a Parlamentului European şi a Consiliului din 12.07.2002 privind procesarea datelor personale şi protecţia intimităţii în sectorul comunicaţiilor electronice;
- Regulamentul (EC) nr. 45/2001 al Parlamentului European şi al Consiliului privind protecţia persoanelor cu privire la procesarea datelor personale de către instituţiile şi organismele comunitare şi la libera circulaţie a acestor date;

 
B. Legislaţie internă

- Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
- Legea nr. 682/2001 privind ratificarea de către România a Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;
- Legea nr. 102/2005 privind înfiinţarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 

Definiţii

   Date cu caracter personal - orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
   Prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;
   Stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;
   Sistem de evidentă a datelor cu caracter personal - orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice;
    Operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile si structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ.
     Persoană împuternicită de către operator - o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;
      Terţ - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile si structurile teritoriale ale acestora, alta decât persoana vizată, operatorul ori persoana împuternicită sau persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite, sunt autorizate sa prelucreze date;
      Destinatar - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent daca este sau nu terţ; autorităţile publice cărora li se comunică date în cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;
      Date anonime - date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă.

 

Drepturile persoanei vizate

        Drepturile persoanei vizate in contextul prelucrării datelor cu caracter personal

        LEGEA nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date

CAP. 4
Drepturile persoanei vizate în contextul prelucrarii datelor cu caracter personal
ART. 12
Informarea persoanei vizate
(1) În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel puţin urmatoarele informaţii, cu excepţia cazului în care aceasta persoana poseda deja informaţiile respective:
a) identitatea operatorului şi a reprezentantului acestuia, daca este cazul;
b) scopul în care se face prelucrarea datelor;
c) informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;
d) orice alte informaţii a caror furnizare este impusa prin dispoziţie a autoritaţii de supraveghere, ţinând seama de specificul prelucrarii.
(2) În cazul în care datele nu sunt obţinute direct de la persoana vizata, operatorul este obligat ca, în momentul colectarii datelor sau, daca se intenţioneaza dezvaluirea acestora catre terţi, cel mai târziu pana în momentul primei dezvaluiri, sa furnizeze persoanei vizate cel puţin urmatoarele informaţii, cu excepţia cazului în care persoana vizata poseda deja informaţiile respective:
a) identitatea operatorului şi a reprezentantului acestuia, daca este cazul;
b) scopul în care se face prelucrarea datelor;
c) informaţii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevazute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;
d) orice alte informaţii a caror furnizare este impusa prin dispoziţie a autoritaţii de supraveghere, ţinând seama de specificul prelucrarii.
(3) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectueaza exclusiv în scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplica în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorica sau ştiinţifica, ori în orice alte situaţii în care furnizarea unor asemenea informaţii se dovedeşte imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum şi în situaţiile în care înregistrarea sau dezvaluirea datelor este expres prevazuta de lege.
ART. 13
Dreptul de acces la date
(1) Orice persoana vizata are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, împreuna cu confirmarea, cel puţin urmatoarele:
a) informaţii referitoare la scopurile prelucrarii, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele;
b) comunicarea într-o forma inteligibila a datelor care fac obiectul prelucrarii, precum şi a oricarei informaţii disponibile cu privire la originea datelor;
c) informaţii asupra principiilor de funcţionare a mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva;
d) informaţii privind existenta dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot fi exercitate; e) informaţii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevazut la art. 24, de a inainta plângere catre autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului, în conformitate cu dispoziţiile prezentei legi.
(2) Persoana vizata poate solicita de la operator informaţiile prevazute la alin. (1), printr-o cerere întocmita în forma scrisa, datata şi semnata. În cerere solicitantul poate arata daca doreşte ca informaţiile sa îi fie comunicate la o anumita adresa, care poate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice informaţiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
(4) În cazul datelor cu caracter personal legate de starea de sanatate, cererea prevazuta la alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele careia este introdusa. La cererea operatorului sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi facuta prin intermediul unui cadru medical desemnat de persoana vizata.
(5) În cazul în care datele cu caracter personal legate de starea de sanatate sunt prelucrate în scop de cercetare ştiinţifica, daca nu exista, cel puţin aparent, riscul de a se aduce atingere drepturilor persoanei vizate şi daca datele nu sunt utilizate pentru a lua decizii sau masuri fata de o anumita persoana, comunicarea prevazuta la alin. (3) se poate face şi într-un termen mai mare decât cel prevazut la acel alineat, în masura în care aceasta ar putea afecta bunul mers sau rezultatele cercetarii, şi nu mai târziu de momentul în care cercetarea este încheiata. În acest caz persoana vizata trebuie sa îşi fi dat în mod expres şi neechivoc consimţamântul ca datele sa fie prelucrate în scop de cercetare ştiinţifica, precum şi asupra posibilei amânari a comunicarii prevazute la alin. (3) din acest motiv.
(6) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectueaza exclusiv în scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.
ART. 14
Dreptul de intervenţie asupra datelor
(1) Orice persoana vizata are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
a) dupa caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a caror prelucrare nu este conforma prezentei legi, în special a datelor incomplete sau inexacte;
b) dupa caz, transformarea în date anonime a datelor a caror prelucrare nu este conforma prezentei legi;
c) notificarea catre terţii carora le-au fost dezvaluite datele a oricarei operaţiuni efectuate conform lit. a) sau b), daca aceasta notificare nu se dovedeşte imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata va inainta operatorului o cerere întocmita în forma scrisa, datata şi semnata. În cerere solicitantul poate arata daca doreşte ca informaţiile sa îi fie comunicate la o anumita adresa, care poate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice masurile luate în temeiul alin. (1), precum şi, daca este cazul, numele terţului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
ART. 15
Dreptul de opoziţie

(1) Persoana vizata are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu excepţia cazurilor în care exista dispoziţii legale contrare. În caz de opoziţie justificata prelucrarea nu mai poate viza datele în cauza.
(2) Persoana vizata are dreptul de a se opune în orice moment, în mod gratuit şi fara nici o justificare, ca datele care o vizeaza sa fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terţ, sau sa fie dezvaluite unor terţi într-un asemenea scop.
(3) În vederea exercitarii drepturilor prevazute la alin. (1) şi (2) persoana vizata va inainta operatorului o cerere întocmita în forma scrisa, datata şi semnata. În cerere solicitantul poate arata daca doreşte ca informaţiile sa îi fie comunicate la o anumita adresa, care poate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(4) Operatorul este obligat sa comunice persoanei vizate masurile luate în temeiul alin. (1) sau (2), precum şi, daca este cazul, numele terţului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).
ART. 16
Excepţii
(1) Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se aplica în cazul activitaţilor prevazute la art. 2 alin. (5), daca prin aplicarea acestora este prejudiciata eficienta acţiunii sau obiectivul urmarit în îndeplinirea atribuţiilor legale ale autoritaţii publice.
(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesara atingerii obiectivului urmarit prin desfaşurarea activitaţilor menţionate la art. 2 alin. (5).
(3) Dupa încetarea situaţiei care justifica aplicarea alin. (1) şi (2) operatorii care desfaşoara activitaţile prevazute la art. 2 alin. (5) vor lua masurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
(4) Autoritaţile publice ţin evidenta unor astfel de cazuri şi informeaza periodic autoritatea de supraveghere despre modul de soluţionare a lor.
ART. 17
Dreptul de a nu fi supus unei decizii individuale
(1) Orice persoana are dreptul de a cere şi de a obţine:
a) retragerea sau anularea oricarei decizii care produce efecte juridice în privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu caracter personal, efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale personalitaţii sale, precum competenta profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte;
b) reevaluarea oricarei alte decizii luate în privinta sa, care o afecteaza în mod semnificativ, daca decizia a fost adoptata exclusiv pe baza unei prelucrari de date care întruneşte condiţiile prevazute la lit. a).
(2) Respectându-se celelalte garanţii prevazute de prezenta lege, o persoana poate fi supusa unei decizii de natura celei vizate la alin. (1), numai în urmatoarele situaţii:
a) decizia este luata în cadrul încheierii sau executarii unui contract, cu condiţia ca cererea de încheiere sau de executare a contractului, introdusa de persoana vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum posibilitatea de a-şi susţine punctul de vedere, sa garanteze apararea propriului interes legitim;
b) decizia este autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului legitim al persoanei vizate.
ART. 18
Dreptul de a se adresa justiţiei
(1) Fară a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricaror drepturi garantate de prezenta lege, care le-au fost incălcate.
(2) Orice persoana care a suferit un prejudiciu în urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instanţei competente pentru repararea acestuia.
(3) Instanţa competentă este cea în a cărei rază teritorială domiciliază reclamantul. Cererea de chemare în judecată este scutită de taxa de timbru.

CAP. 5
Confidenţialitatea şi securitatea prelucrărilor
ART. 19
Confidenţialitatea prelucrărilor
Oricece persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana imputernicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale. 

 

Drepturi ale cetăţenilor străini în ceea ce priveşte protecţia datelor personale


      Conform art. 18 şi 26 din Constituţia României, republicată, cetăţenii străni şi apatrizii care locuiesc în România se bucură de protecţia generală a persoanelor şi a averilor, garantată de Constituţie şi de alte legi iar autorităţile publice respectă şi ocrotesc viaţa intimă, familială şi privată, tară a face distincţie între cetăţenii români şi străini. De asemenea, legea cadru în domeniul protecţiei persoanelor cu privire la prelucrarea dalelor cu caracter personal si libera circulaţie a acestor date (Legea nr.677/2001, cu modificările şi completările ulterioare) are ca scop garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale păersoanelor fizice, în special a dreptului la viaţă intimă, familiară şi privata, cu privire la prelucrarea datelor cu caracter personal, fără a face distincţie între cetăţenii români şi stăini. De asemenea, această lege se aplică prelucrărilor de date cu caracter personal efectuate de persoane fizice sau juridice, române ori străine, de drept public sau de drept privat, indiferent dacă au loc în sectorul public sau în sectorul privat (art.2 alin 6).
         În acest context, în virtutea dispoziţiilor legale indicate cadrul normativ intern asigură o protecţie similară celor două categorii de persoane (cetăţeni români şi străini).

 

Plângeri

       Plângeri adresate direct ANSPDCP
      Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritate publică, autonomă şi independentă, cu personalitate juridică care monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa Legii nr. 677/2001.

Contact:
Str. Olari nr. 32, Sector 2, Bucureşti
Tel: +40-21-252.55.99
Fax: +40-21-252.57.57
E-mail: anspdcp@dataprotection.ro
Web: www.dataprotection.ro


LEGEA nr. 677 din 21 noiembrie 2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulatie a acestor date

ART. 25
Plângeri adresate autoritaţii de supraveghere
(1) În vederea apararii drepturilor prevazute de prezenta lege persoanele ale caror date cu caracter personal fac obiectul unei prelucrari care cade sub incidenta prezentei legi pot inainta plângere catre autoritatea de supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana lezata poate imputernici o asociaţie sau o fundaţie sa îi reprezinte interesele.
(2) Plângerea catre autoritatea de supraveghere nu poate fi înaintata daca o cerere în justiţie, având acelaşi obiect şi aceleaşi parţi, a fost introdusa anterior.
(3) În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea catre autoritatea de supraveghere nu poate fi înaintata mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut catre operator.
(4) În vederea soluţionarii plângerii, daca apreciaza ca este necesar, autoritatea de supraveghere poate audia persoana vizata, operatorul şi, daca este cazul, persoana imputernicita sau asociaţia ori fundaţia care reprezinta interesele persoanei vizate. Aceste persoane au dreptul de a inainta cereri, documente şi memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
(5) Daca plângerea este gasita intemeiata, autoritatea de supraveghere poate decide oricare dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdicţia temporara a prelucrarii poate fi instituita numai pana la încetarea motivelor care au determinat luarea acestei masuri.
(6) Decizia trebuie motivata şi se comunica parţilor interesate în termen de 30 de zile de la data primirii plângerii.
(7) Autoritatea de supraveghere poate ordona, daca apreciaza necesar, suspendarea unora sau tuturor operaţiunilor de prelucrare pana la soluţionarea plângerii în condiţiile alin. (5).
(8) Autoritatea de supraveghere se poate adresa justiţiei pentru apararea oricaror drepturi garantate de prezenta lege persoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucureşti. Cererea de chemare în judecata este scutita de taxa de timbru.
(9) La cererea persoanelor vizate, pentru motive întemeiate, instanta poate dispune suspendarea prelucrarii pana la soluţionarea plângerii de catre autoritatea de supraveghere.
(10) Prevederile alin. (4)-(9) se aplica în mod corespunzator şi în situaţia în care autoritatea de supraveghere afla pe orice alta cale despre savârşirea unei încalcari a drepturilor recunoscute de prezenta lege persoanelor vizate. 

Fişiere ataşate