Politica de confidentialitate

Legea nr. 677 din 2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
CAPITOLUL I
Dispozitii generale
Scop
Art. 1.
(1) Prezenta lege are ca scop garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter personal.
(2) Exercitarea drepturilor prevazute in prezenta lege nu poate fi restransa decat in cazuri expres si limitativ prevazute de lege.

Domeniu de aplicare
Art. 2.
(1) Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate, in tot sau in parte, prin mijloace automate, precum si prelucrarii prin alte mijloace decat cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse intr-un asemenea sistem.
(2) Prezenta lege se aplica:
a) prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori stabiliti in Romania;
b) prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de misiunile diplomatice sau de oficiile consulare ale Romaniei;
c) prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori care nu sunt stabiliti in Romania, prin utilizarea de mijloace de orice natura situate pe teritoriul Romaniei, cu exceptia cazului in care aceste mijloace nu sunt utilizate decat in scopul tranzitarii pe teritoriul Romaniei a datelor cu caracter personal care fac obiectul prelucrarilor respective.
(3) In cazul prevazut la alin. (2) lit. c) operatorul isi va desemna un reprezentant care trebuie sa fie o persoana stabilita in Romania. Prevederile prezentei legi aplicabile operatorului sunt aplicabile si reprezentantului acestuia, fara a aduce atingere posibilitatii de a introduce actiune in justitie direct impotriva operatorului.
(4) Prezenta lege se aplica prelucrarilor de date cu caracter personal efectuate de persoane fizice sau juridice, romane ori straine, de drept public sau de drept privat, indiferent daca au loc in sectorul public sau in sectorul privat.
(5) In limitele prevazute de prezenta lege, aceasta se aplica si prelucrarilor si transferului de date cu caracter personal, efectuate in cadrul activitatilor de prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii publice, precum si al altor activitati desfasurate in domeniul dreptului penal, in limitele si cu restrictiile stabilite de lege.
(6) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, daca datele in cauza nu sunt destinate a fi dezvaluite.
(7) Prezenta lege nu se aplica prelucrarilor si transferului de date cu caracter personal, efectuate in cadrul activitatilor in domeniul apararii nationale si sigurantei nationale, desfasurate in limitele si cu restrictiile stabilite de lege.
(8) Prevederile prezentei legi nu aduc atingere obligatiilor asumate de Romania prin instrumente juridice ratificate.

Definitii
Art. 3.
In intelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:
a) date cu caracter personal – orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter personal – orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;
c) stocarea – pastrarea pe orice fel de suport a datelor cu caracter personal culese;
d) sistem de evidenta a datelor cu caracter personal – orice structura organizata de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent daca aceasta structura este organizata in mod centralizat ori descentralizat sau este repartizata dupa criterii functionale ori geografice;
e) operator – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau in baza acelui act normativ;
f) persoana imputernicita de catre operator – o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;
g) tert – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, alta decat persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei imputernicite, sunt autorizate sa prelucreze date;
h) destinatar – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, careia ii sunt dezvaluite date, indiferent daca este sau nu tert; autoritatile publice carora li se comunica date in cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;
i) date anonime – date care, datorita originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.

CAPITOLUL II

Reguli generale privind prelucrarea datelor cu caracter personal
Caracteristicile datelor cu caracter personal in cadrul prelucrarii
Art. 4.
(1) Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:
a) prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in vigoare;
b) colectate in scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal in scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute de normele care reglementeaza activitatea statistica ori cercetarea istorica sau stiintifica;
c) adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
d) exacte si, daca este cazul, actualizate; in acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate;
e) stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute in normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri.
(2) Operatorii au obligatia sa respecte prevederile alin. (1) si sa asigure indeplinirea acestor prevederi de catre persoanele imputernicite.

Conditii de legitimitate privind prelucrarea datelor
Art. 5.
(1) Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru acea prelucrare.
(2) Consimtamantul persoanei vizate nu este cerut in urmatoarele cazuri:
a) cand prelucrarea este necesara in vederea executarii unui contract sau antecontract la care persoana vizata este parte ori in vederea luarii unor masuri, la cererea acesteia, inaintea incheierii unui contract sau antecontract;
b) cand prelucrarea este necesara in vederea protejarii vietii, integritatii fizice sau sanatatii persoanei vizate ori a unei alte persoane amenintate;
c) cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a operatorului;
d) cand prelucrarea este necesara in vederea aducerii la indeplinire a unor masuri de interes public sau care vizeaza exercitarea prerogativelor de autoritate publica cu care este investit operatorul sau tertul caruia ii sunt dezvaluite datele;
e) cand prelucrarea este necesara in vederea realizarii unui interes legitim al operatorului sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca acest interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale persoanei vizate;
f) cand prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
g) cand prelucrarea este facuta exclusiv in scopuri statistice, de cercetare istorica sau stiintifica, iar datele raman anonime pe toata durata prelucrarii.
(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.

Incheierea operatiunilor de prelucrare
Art. 6.
(1) La incheierea operatiunilor de prelucrare, daca persoana vizata nu si-a dat in mod expres si neechivoc consimtamantul pentru o alta destinatie sau pentru o prelucrare ulterioara, datele cu caracter personal vor fi:
a) distruse;
b) transferate unui alt operator, cu conditia ca operatorul initial sa garanteze faptul ca prelucrarile ulterioare au scopuri similare celor in care s-a facut prelucrarea initiala;
c) transformate in date anonime si stocate exclusiv in scopuri statistice, de cercetare istorica sau stiintifica.
(2) In cazul operatiunilor de prelucrare efectuate in conditiile prevazute la art. 5 alin. (2) lit. c) sau d), in cadrul activitatilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesara realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.

CAPITOLUL III
Reguli speciale privind prelucrarea datelor cu caracter personal
Prelucrarea unor categorii speciale de date
Art. 7.
(1) Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa.
(2) Prevederile alin. (1) nu se aplica in urmatoarele cazuri:
a) cand persoana vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
b) cand prelucrarea este necesara in scopul respectarii obligatiilor sau drepturilor specifice ale operatorului in domeniul dreptului muncii, cu respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a operatorului in acest sens sau daca persoana vizata a consimtit expres la aceasta dezvaluire;
c) cand prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a sanatatii persoanei vizate ori a altei persoane, in cazul in care persoana vizata se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
d) cand prelucrarea este efectuata in cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana vizata sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod regulat, relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
e) cand prelucrarea se refera la date facute publice in mod manifest de catre persoana vizata;
f) cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie;
g) cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza in interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente in ceea ce priveste secretul;
h) cand legea prevede in mod expres aceasta in scopul protejarii unui interes public important, cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta lege.
(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.
(4) Autoritatea de supraveghere poate dispune, din motive intemeiate, interzicerea efectuarii unei prelucrari de date din categoriile prevazute la alin. (1), chiar daca persoana vizata si-a dat in scris si in mod neechivoc consimtamantul, iar acest consimtamant nu a fost retras, cu conditia ca interdictia prevazuta la alin. (1) sa nu fie inlaturata prin unul dintre cazurile la care se refera alin. (2) lit. b)-g).

Prelucrarea datelor cu caracter personal avand functie de identificare
Art. 8.
(1) Prelucrarea codului numeric personal sau a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala poate fi efectuata numai daca:
a) persoana vizata si-a dat in mod expres consimtamantul; sau
b) prelucrarea este prevazuta in mod expres de o dispozitie legala.
(2) Autoritatea de supraveghere poate stabili si alte cazuri in care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.

Prelucrarea datelor cu caracter personal privind starea de sanatate
Art. 9.
(1) In afara cazurilor prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplica in privinta prelucrarii datelor privind starea de sanatate in urmatoarele cazuri:
a) daca prelucrarea este necesara pentru protectia sanatatii publice;
b) daca prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii unei fapte penale sau pentru impiedicarea producerii rezultatului unei asemenea fapte ori pentru inlaturarea urmarilor prejudiciabile ale unei asemenea fapte.
(2) Prelucrarea datelor privind starea de sanatate poate fi efectuata numai de catre ori sub supravegherea unui cadru medical, cu conditia respectarii secretului profesional, cu exceptia situatiei in care persoana vizata si-a dat in scris si in mod neechivoc consimtamantul atata timp cat acest consimtamant nu a fost retras, precum si cu exceptia situatiei in care prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii unei fapte penale, pentru impiedicarea producerii rezultatului unei asemenea fapte sau pentru inlaturarea urmarilor sale prejudiciabile.
(3) Cadrele medicale, institutiile de sanatate si personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sanatate, fara autorizatia autoritatii de supraveghere, numai daca prelucrarea este necesara pentru protejarea vietii, integritatii fizice sau sanatatii persoanei vizate. Cand scopurile mentionate se refera la alte persoane sau la public in general si persoana vizata nu si-a dat consimtamantul in scris si in mod neechivoc, trebuie ceruta si obtinuta in prealabil autorizatia autoritatii de supraveghere. Prelucrarea datelor cu caracter personal in afara limitelor prevazute in autorizatie este interzisa.
(4) Cu exceptia motivelor de urgenta, autorizatia prevazuta la alin. (3) poate fi acordata numai dupa ce a fost consultat Colegiul Medicilor din Romania.
(5) Datele cu caracter personal privind starea de sanatate pot fi colectate numai de la persoana vizata. Prin exceptie, aceste date pot fi colectate din alte surse numai in masura in care este necesar pentru a nu compromite scopurile prelucrarii, iar persoana vizata nu vrea ori nu le poate furniza.

Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contraventii
Art. 10.
(1) Prelucrarea datelor cu caracter personal referitoare la savarsirea de infractiuni de catre persoana vizata ori la condamnari penale, masuri de siguranta sau sanctiuni administrative ori contraventionale, aplicate persoanei vizate, poate fi efectuata numai de catre sau sub controlul autoritatilor publice, in limitele puterilor ce le sunt conferite prin lege si in conditiile stabilite de legile speciale care reglementeaza aceste materii.
(2) Autoritatea de supraveghere poate stabili si alte cazuri in care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
(3) Un registru complet al condamnarilor penale poate fi tinut numai sub controlul unei autoritati publice, in limitele puterilor ce ii sunt conferite prin lege.

Exceptii
Art. 11.
Prevederile art. 5, 6, 7 si 10 nu se aplica in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice, daca prelucrarea priveste date cu caracter personal care au fost facute publice in mod manifest de catre persoana vizata sau care sunt strans legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor in care este implicata.

CAPITOLUL IV
Drepturile persoanei vizate in contextul prelucrarii datelor cu caracter personal

Informarea persoanei vizate
Art. 12.
(1) In cazul in care datele cu caracter personal sunt obtinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului in care aceasta persoana poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care se face prelucrarea datelor;
c) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(2) In cazul in care datele nu sunt obtinute direct de la persoana vizata, operatorul este obligat ca, in momentul colectarii datelor sau, daca se intentioneaza dezvaluirea acestora catre terti, cel mai tarziu pana in momentul primei dezvaluiri, sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului in care persoana vizata poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care se face prelucrarea datelor;
c) informatii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevazute de prezenta lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(3) Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplica in cazul in care prelucrarea datelor se face in scopuri statistice, de cercetare istorica sau stiintifica, ori in orice alte situatii in care furnizarea unor asemenea informatii se dovedeste imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum si in situatiile in care inregistrarea sau dezvaluirea datelor este expres prevazuta de lege.

Dreptul de acces la date
Art. 13.
(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, in situatia in care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, impreuna cu confirmarea, cel putin urmatoarele:
a) informatii referitoare la scopurile prelucrarii, categoriile de date avute in vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele;
b) comunicarea intr-o forma inteligibila a datelor care fac obiectul prelucrarii, precum si a oricarei informatii disponibile cu privire la originea datelor;
c) informatii asupra principiilor de functionare a mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva;
d) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de opozitie, precum si conditiile in care pot fi exercitate;
e) informatii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevazut la art. 24, de a inainta plangere catre autoritatea de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor operatorului, in conformitate cu dispozitiile prezentei legi.
(2) Persoana vizata poate solicita de la operator informatiile prevazute la alin. (1), printr-o cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice informatiile solicitate, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
(4) In cazul datelor cu caracter personal legate de starea de sanatate, cererea prevazuta la alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica in cerere persoana in numele careia este introdusa. La cererea operatorului sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi facuta prin intermediul unui cadru medical desemnat de persoana vizata.
(5) In cazul in care datele cu caracter personal legate de starea de sanatate sunt prelucrate in scop de cercetare stiintifica, daca nu exista, cel putin aparent, riscul de a se aduce atingere drepturilor persoanei vizate si daca datele nu sunt utilizate pentru a lua decizii sau masuri fata de o anumita persoana, comunicarea prevazuta la alin. (3) se poate face si intr-un termen mai mare decat cel prevazut la acel alineat, in masura in care aceasta ar putea afecta bunul mers sau rezultatele cercetarii, si nu mai tarziu de momentul in care cercetarea este incheiata. In acest caz persoana vizata trebuie sa isi fi dat in mod expres si neechivoc consimtamantul ca datele sa fie prelucrate in scop de cercetare stiintifica, precum si asupra posibilei amanari a comunicarii prevazute la alin. (3) din acest motiv.
(6) Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.

Dreptul de interventie asupra datelor
Art. 14.
(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit:
a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este conforma prezentei legi, in special a datelor incomplete sau inexacte;
b) dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este conforma prezentei legi;
c) notificarea catre tertii carora le-au fost dezvaluite datele a oricarei operatiuni efectuate conform lit. a)
sau b), daca aceasta notificare nu se dovedeste imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat. (2) Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata va inainta operatorului o cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice masurile luate in temeiul alin. (1), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).

Dreptul de opozitie
Art. 15.
(1) Persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare. In caz de opozitie justificata prelucrarea nu mai poate viza datele in cauza.
(2) Persoana vizata are dreptul de a se opune in orice moment, in mod gratuit si fara nici o justificare, ca datele care o vizeaza sa fie prelucrate in scop de marketing direct, in numele operatorului sau al unui tert, sau sa fie dezvaluite unor terti intr-un asemenea scop.
(3) In vederea exercitarii drepturilor prevazute la alin. (1) si (2) persoana vizata va inainta operatorului o cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(4) Operatorul este obligat sa comunice persoanei vizate masurile luate in temeiul alin. (1) sau (2), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).

Exceptii
Art. 16.
(1) Prevederile art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica in cazul activitatilor prevazute la art. 2 alin. (5), daca prin aplicarea acestora este prejudiciata eficienta actiunii sau obiectivul urmarit in indeplinirea atributiilor legale ale autoritatii publice.
(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesara atingerii obiectivului urmarit prin desfasurarea activitatilor mentionate la art. 2 alin. (5).
(3) Dupa incetarea situatiei care justifica aplicarea alin. (1) si (2) operatorii care desfasoara activitatile prevazute la art. 2 alin. (5) vor lua masurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
(4) Autoritatile publice tin evidenta unor astfel de cazuri si informeaza periodic autoritatea de supraveghere despre modul de solutionare a lor.

Dreptul de a nu fi supus unei decizii individuale
Art. 17.
(1) Orice persoana are dreptul de a cere si de a obtine:
a) retragerea sau anularea oricarei decizii care produce efecte juridice in privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu caracter personal, efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale personalitatii sale, precum competenta profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte;
b) reevaluarea oricarei alte decizii luate in privinta sa, care o afecteaza in mod semnificativ, daca decizia a fost adoptata exclusiv pe baza unei prelucrari de date care intruneste conditiile prevazute la lit. a).
(2) Respectandu-se celelalte garantii prevazute de prezenta lege, o persoana poate fi supusa unei decizii de natura celei vizate la alin. (1), numai in urmatoarele situatii:
a) decizia este luata in cadrul incheierii sau executarii unui contract, cu conditia ca cererea de incheiere sau de executare a contractului, introdusa de persoana vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum posibilitatea de a-si sustine punctul de vedere, sa garanteze apararea propriului interes legitim;
b) decizia este autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului legitim al persoanei vizate.

Dreptul de a se adresa justitiei
Art. 18.
(1) Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege, care le-au fost incalcate.
(2) Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
(3) Instanta competenta este cea in a carei raza teritoriala domiciliaza reclamantul. Cererea de chemare in judecata este scutita de taxa de timbru.

CAPITOLUL V

Confidentialitatea si securitatea prelucrarilor
Confidentialitatea prelucrarilor
Art. 19.
Orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite, inclusiv persoana imputernicita, care are acces la date cu caracter personal, nu poate sa le prelucreze decat pe baza instructiunilor operatorului, cu exceptia cazului in care actioneaza in temeiul unei obligatii legale.
Securitatea prelucrarilor

Art. 20.
(1) Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala.
(2) Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii utilizate in procesul de prelucrare si de costuri, un nivel de securitate adecvat in ceea ce priveste riscurile pe care le reprezinta prelucrarea, precum si in ceea ce priveste natura datelor care trebuie protejate. Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic, corespunzator progresului tehnic si experientei acumulate.
(3) Operatorul, atunci cand desemneaza o persoana imputernicita, este obligat sa aleaga o persoana care prezinta suficiente garantii in ceea ce priveste masurile de securitate tehnica si organizatorice cu privire la prelucrarile ce vor fi efectuate, precum si sa vegheze la respectarea acestor masuri de catre persoana desemnata.
(4) Autoritatea de supraveghere poate decide, in cazuri individuale, asupra obligarii operatorului la adoptarea unor masuri suplimentare de securitate, cu exceptia celor care privesc garantarea securitatii serviciilor de telecomunicatii.
(5) Efectuarea prelucrarilor prin persoane imputernicite trebuie sa se desfasoare in baza unui contract incheiat in forma scrisa, care va cuprinde in mod obligatoriu:
a) obligatia persoanei imputernicite de a actiona doar in baza instructiunilor primite de la operator;
b) faptul ca indeplinirea obligatiilor prevazute la alin. (1) revine si persoanei imputernicite.

CAPITOLUL VI

Supravegherea si controlul prelucrarilor de date cu caracter personal
Autoritatea de supraveghere
Art. 21.
(1) Autoritatea de supraveghere, in sensul prezentei legi, este Avocatul Poporului.
(2) Autoritatea de supraveghere isi desfasoara activitatea in conditii de completa independenta si impartialitate.
(3) Autoritatea de supraveghere monitorizeaza si controleaza sub aspectul legalitatii prelucrarile de date cu caracter personal care cad sub incidenta prezentei legi.
In acest scop autoritatea de supraveghere exercita urmatoarele atributii:
a) elaboreaza formularele tipizate ale notificarilor si ale registrelor proprii;
b) primeste si analizeaza notificarile privind prelucrarea datelor cu caracter personal, anuntand operatorului rezultatele controlului prealabil;
c) autorizeaza prelucrarile de date in situatiile prevazute de lege;
d) poate dispune, in cazul in care constata incalcarea dispozitiilor prezentei legi, suspendarea provizorie sau incetarea prelucrarii datelor, stergerea partiala ori integrala a datelor prelucrate si poate sa sesiseze organele de urmarire penala sau sa intenteze actiuni in justitie;
e) pastreaza si pune la dispozitie publicului registrul de evidenta a prelucrarilor de date cu caracter personal;
f) primeste si solutioneaza plangeri, sesizari sau cereri de la persoanele fizice si comunica solutia data ori, dupa caz, diligentele depuse;
g) efectueaza investigatii din oficiu sau la primirea unor plangeri ori sesizari;
h) este consultata atunci cand se elaboreaza proiecte de acte normative referitoare la protectia drepturilor si libertatilor persoanelor, in privinta prelucrarii datelor cu caracter personal;
i) poate face propuneri privind initierea unor proiecte de acte normative sau modificarea actelor normative in vigoare in domenii legate de prelucrarea datelor cu caracter personal;
j) coopereaza cu autoritatile publice si cu organele administratiei publice, centralizeaza si analizeaza rapoartele anuale de activitate ale acestora privind protectia persoanelor in privinta prelucrarii datelor cu caracter personal, formuleaza recomandari si avize asupra oricarei chestiuni legate de protectia drepturilor si libertatilor fundamentale in privinta prelucrarii datelor cu caracter personal, la cererea oricarei persoane, inclusiv a autoritatilor publice si a organelor administratiei publice; aceste recomandari si avize trebuie sa faca mentiune despre temeiurile pe care se sprijina si se comunica in copie si Ministerului Justitiei; atunci cand recomandarea sau avizul este cerut de lege, se publica in Monitorul Oficial al Romaniei, Partea I;
k) coopereaza cu autoritatile similare de peste hotare in vederea asistentei mutuale, precum si cu persoanele cu domiciliul sau cu sediul in strainatate, in scopul apararii drepturilor si libertatilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
l) indeplineste alte atributii prevazute de lege.
(4) Intregul personal al autoritatii de supraveghere are obligatia de a pastra secretul profesional, cu exceptiile prevazute de lege, pe termen nelimitat, asupra informatiilor confidentiale sau clasificate la care are sau a avut acces in exercitarea atributiilor de serviciu, inclusiv dupa incetarea raporturilor juridice cu autoritatea de supraveghere.

Notificarea catre autoritatea de supraveghere
Art. 22.
(1) Operatorul este obligat sa notifice autoritatii de supraveghere, personal sau prin reprezentant, inainte de efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari avand acelasi scop sau scopuri corelate.
(2) Notificarea nu este necesara in cazul in care prelucrarea are ca unic scop tinerea unui registru destinat prin lege informarii publicului si deschis spre consultare publicului in general sau oricarei persoane care probeaza un interes legitim, cu conditia ca prelucrarea sa se limiteze la datele strict necesare tinerii registrului mentionat.
(3) Notificarea va cuprinde cel putin urmatoarele informatii:
a) numele sau denumirea si domiciliul ori sediul operatorului si ale reprezentantului desemnat al acestuia, daca este cazul;
b) scopul sau scopurile prelucrarii;
c) o descriere a categoriei sau a categoriilor de persoane vizate si a datelor ori a categoriilor de date ce vor fi prelucrate;
d) destinatarii sau categoriile de destinatari carora se intentioneaza sa li se dezvaluie datele;
e) garantiile care insotesc dezvaluirea datelor catre terti;
f) modul in care persoanele vizate sunt informate asupra drepturilor lor; data estimata pentru incheierea operatiunilor de prelucrare, precum si destinatia ulterioara a datelor;
g) transferuri de date care se intentioneaza sa fie facute catre alte state;
h) o descriere generala care sa permita aprecierea preliminara a masurilor luate pentru asigurarea securitatii prelucrarii;
i) specificarea oricarui sistem de evidenta a datelor cu caracter personal, care are legatura cu prelucrarea, precum si a eventualelor legaturi cu alte prelucrari de date sau cu alte sisteme de evidenta a datelor cu caracter personal, indiferent daca se efectueaza, respectiv daca sunt sau nu sunt situate pe teritoriul Romaniei;
j) motivele care justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice ori in scopuri statistice, de cercetare istorica sau stiintifica.
(4) Daca notificarea este incompleta, autoritatea de supraveghere va solicita completarea acesteia.
(5) In limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita si alte informatii, in special privind originea datelor, tehnologia de prelucrare automata utilizata si detalii referitoare la masurile de securitate. Dispozitiile prezentului alineat nu se aplica in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice.
(6) Daca se intentioneaza ca datele care sunt prelucrate sa fie transferate in strainatate, notificarea va cuprinde si urmatoarele elemente:
a) categoriile de date care vor face obiectul transferului;
b) tara de destinatie pentru fiecare categorie de date.
(7) Notificarea este supusa unei taxe care trebuie platita de operator autoritatii de supraveghere.
(8) Autoritatile publice care efectueaza prelucrari de date cu caracter personal in legatura cu activitatile descrise la art. 2 alin. (5), in temeiul legii sau in indeplinirea obligatiilor asumate prin acorduri internationale ratificate, sunt scutite de taxa prevazuta la alin. (7). Notificarea se va transmite in termen de 15 zile de la intrarea in vigoare a actului normativ care instituie obligatia respectiva si va cuprinde numai urmatoarele elemente:
a) denumirea si sediul operatorului;
b) scopul si temeiul legal al prelucrarii;
c) categoriile de date cu caracter personal supuse prelucrarii.
(9) Autoritatea de supraveghere poate stabili si alte situatii in care notificarea nu este necesara, in afara celei prevazute la alin. (2), sau situatii in care notificarea se poate efectua intr-o forma simplificata, precum si continutul acesteia, numai in unul dintre urmatoarele cazuri:
a) atunci cand, luand in considerare natura datelor destinate sa fie prelucrate, prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor vizate, cu conditia sa precizeze expres scopurile in care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari carora datele le pot fi dezvaluite si perioada pentru care datele pot fi stocate;
b) atunci cand prelucrarea se efectueaza in conditiile art. 7 alin. (2) lit. d).

Controlul prealabil
Art. 23.
(1) Autoritatea de supraveghere va stabili categoriile de operatiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor.
(2) Daca pe baza notificarii autoritatea de supraveghere constata ca prelucrarea se incadreaza in una dintre categoriile mentionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil inceperii prelucrarii respective, cu anuntarea operatorului.
(3) Operatorii care nu au fost anuntati in termen de 5 zile de la data notificarii despre efectuarea unui control prealabil pot incepe prelucrarea.
(4) In situatia prevazuta la alin. (2) autoritatea de supraveghere este obligata ca, in termen de cel mult 30 de zile de la data notificarii, sa aduca la cunostinta operatorului rezultatul controlului efectuat, precum si decizia emisa in urma acestuia.

Registrul de evidenta a prelucrarilor de date cu caracter personal
Art. 24.
(1) Autoritatea de supraveghere pastreaza un registru de evidenta a prelucrarilor de date cu caracter personal, notificate in conformitate cu prevederile art. 22. Registrul va cuprinde toate informatiile prevazute la art. 22 alin. (3).
(2) Fiecare operator primeste un numar de inregistrare. Numarul de inregistrare trebuie mentionat pe orice act prin care datele sunt colectate, stocate sau dezvaluite.
(3) Orice schimbare de natura sa afecteze exactitatea informatiilor inregistrate va fi comunicata autoritatii de supraveghere in termen de 5 zile. Autoritatea de supraveghere va dispune de indata efectuarea mentiunilor corespunzatoare in registru.
(4) Activitatile de prelucrare a datelor cu caracter personal, incepute anterior intrarii in vigoare a prezentei legi, vor fi notificate in vederea inregistrarii in termen de 15 zile de la data intrarii in vigoare a prezentei legi.
(5) Registrul de evidenta a prelucrarilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileste de autoritatea de supraveghere.

Plangeri adresate autoritatii de supraveghere
Art. 25.
(1) In vederea apararii drepturilor prevazute de prezenta lege persoanele ale caror date cu caracter personal fac obiectul unei prelucrari care cade sub incidenta prezentei legi pot inainta plangere catre autoritatea de supraveghere. Plangerea se poate face direct sau prin reprezentant. Persoana lezata poate imputernici o asociatie sau o fundatie sa ii reprezinte interesele.
(2) Plangerea catre autoritatea de supraveghere nu poate fi inaintata daca o cerere in justitie, avand acelasi obiect si aceleasi parti, a fost introdusa anterior.
(3) In afara cazurilor in care o intarziere ar cauza un prejudiciu iminent si ireparabil, plangerea catre autoritatea de supraveghere nu poate fi inaintata mai devreme de 15 zile de la inaintarea unei plangeri cu acelasi continut catre operator.
(4) In vederea solutionarii plangerii, daca apreciaza ca este necesar, autoritatea de supraveghere poate audia persoana vizata, operatorul si, daca este cazul, persoana imputernicita sau asociatia ori fundatia care reprezinta interesele persoanei vizate. Aceste persoane au dreptul de a inainta cereri, documente si memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
(5) Daca plangerea este gasita intemeiata, autoritatea de supraveghere poate decide oricare dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdictia temporara a prelucrarii poate fi instituita numai pana la incetarea motivelor care au determinat luarea acestei masuri.
(6) Decizia trebuie motivata si se comunica partilor interesate in termen de 30 de zile de la data primirii plangerii.
(7) Autoritatea de supraveghere poate ordona, daca apreciaza necesar, suspendarea unora sau tuturor operatiunilor de prelucrare pana la solutionarea plangerii in conditiile alin. (5).
(8) Autoritatea de supraveghere se poate adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege persoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucuresti. Cererea de chemare in judecata este scutita de taxa de timbru.
(9) La cererea persoanelor vizate, pentru motive intemeiate, instanta poate dispune suspendarea prelucrarii pana la solutionarea plangerii de catre autoritatea de supraveghere.
(10) Prevederile alin. (4)-(9) se aplica in mod corespunzator si in situatia in care autoritatea de supraveghere afla pe orice alta cale despre savarsirea unei incalcari a drepturilor recunoscute de prezenta lege persoanelor vizate.

Contestarea deciziilor autoritatii de supraveghere
Art. 26.
(1) Impotriva oricarei decizii emise de autoritatea de supraveghere in temeiul dispozitiilor prezentei legi operatorul sau persoana vizata poate formula contestatie in termen de 15 zile de la comunicare, sub sanctiunea decaderii, la instanta de contencios administrativ competenta. Cererea se judeca de urgenta, cu citarea partilor. Solutia este definitiva si irevocabila.
(2) Fac exceptie de la prevederile alin. (1), precum si de la cele ale art. 23 si 25 prelucrarile de date cu caracter personal, efectuate in cadrul activitatilor prevazute la art. 2 alin. (5).

Exercitarea atributiilor de investigare
Art. 27.
(1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plangeri, orice incalcare a drepturilor persoanelor vizate, respectiv a obligatiilor care revin operatorilor si, dupa caz, persoanelor imputernicite, in cadrul efectuarii prelucrarilor de date cu caracter personal, in scopul apararii drepturilor si libertatilor fundamentale ale persoanelor vizate.
(2) Atributiile de investigare nu pot fi exercitate de catre autoritatea de supraveghere in cazul in care o cerere in justitie introdusa anterior are ca obiect savarsirea aceleiasi incalcari a drepturilor si opune aceleasi parti.
(3) In exercitarea atributiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informatii legate de prelucrarea datelor cu caracter personal si poate verifica orice document sau inregistrare referitoare la prelucrarea de date cu caracter personal.
(4) Secretul de stat si secretul profesional nu pot fi invocate pentru a impiedica exercitarea atributiilor acordate prin prezenta lege autoritatii de supraveghere. Atunci cand este invocata protectia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligatia de a pastra secretul.
(5) Daca exercitarea atributiei de investigare a autoritatii de supraveghere are ca obiect o prelucrare de date cu caracter personal, efectuata de autoritatile publice in legatura cu activitatile descrise la art. 2 alin. (5) pentru un caz concret, este necesara obtinerea acordului prealabil al procurorului sau al instantei competente.

Norme de conduita
Art. 28.
(1) Asociatiile profesionale au obligatia de a elabora si de a supune spre avizare autoritatii de supraveghere coduri de conduita care sa contina norme adecvate pentru protectia drepturilor persoanelor ale caror date cu caracter personal pot fi prelucrate de catre membrii acestora.
(2) Normele de conduita trebuie sa prevada masuri si proceduri care sa asigure un nivel satisfacator de protectie, tinand seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune masuri si proceduri specifice pentru perioada in care normele de conduita la care s-a facut referire anterior nu sunt adoptate.

CAPITOLUL VII
Transferul in strainatate al datelor cu caracter personal

Conditiile transferului in strainatate al datelor cu caracter personal
Art. 29.
(1) Transferul catre un alt stat de date cu caracter personal care fac obiectul unei prelucrari sau sunt destinate sa fie prelucrate dupa transfer poate avea loc numai in conditiile in care nu se incalca legea romana, iar statul catre care se intentioneaza transferul asigura un nivel de protectie adecvat.
(2) Nivelul de protectie va fi apreciat de catre autoritatea de supraveghere, tinand seama de totalitatea imprejurarilor in care se realizeaza transferul de date, in special avand in vedere natura datelor transmise, scopul prelucrarii si durata propusa pentru prelucrare, statul de origine si statul de destinatie finala, precum si legislatia statului solicitant. In cazul in care autoritatea de supraveghere constata ca nivelul de protectie oferit de statul de destinatie este nesatisfacator, poate dispune interzicerea transferului de date.
(3) In toate situatiile transferul de date cu caracter personal catre un alt stat va face obiectul unei notificari prealabile a autoritatii de supraveghere.
(4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal catre un stat a carui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de legea romana atunci cand operatorul ofera garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sa fie stabilite prin contracte incheiate intre operatori si persoanele fizice sau juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile alin. (2), (3) si (4) nu se aplica daca transferul datelor se face in baza prevederilor unei legi speciale sau ale unui acord international ratificat de Romania, in special daca transferul se face in scopul prevenirii, cercetarii sau reprimarii unei infractiuni.
(6) Prevederile prezentului articol nu se aplica atunci cand prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice, daca datele au fost facute publice in mod manifest de catre persoana vizata sau sunt strans legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor in care este implicata.

Situatii in care transferul este intotdeauna permis
Art. 30.
Transferul de date este intotdeauna permis in urmatoarele situatii:
a) cand persoana vizata si-a dat in mod explicit consimtamantul pentru efectuarea transferului; in cazul in care transferul de date se face in legatura cu oricare dintre datele prevazute la art. 7, 8 si 10, consimtamantul trebuie dat in scris;
b) cand este necesar pentru executarea unui contract incheiat intre persoana vizata si operator sau pentru executarea unor masuri precontractuale dispuse la cererea pesoanei vizate;
c) cand este necesar pentru incheierea sau pentru executarea unui contract incheiat ori care se va incheia, in interesul persoanei vizate, intre operator si un tert;
d) cand este necesar pentru satisfacerea unui interes public major, precum apararea nationala, ordinea publica sau siguranta nationala, pentru buna desfasurare a procesului penal ori pentru constatarea, exercitarea sau apararea unui drept in justitie, cu conditia ca datele sa fie prelucrate in legatura cu acest scop si nu mai mult timp decat este necesar;
e) cand este necesar pentru a proteja viata, integritatea fizica sau sanatatea persoanei vizate;
f) cand intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informatii care pot fi obtinute din registre sau prin orice alte documente accesibile publicului.

CAPITOLUL VIII

Contraventii si sanctiuni
Omisiunea de a notifica si notificarea cu rea-credinta

Art. 31.
Omisiunea de a efectua notificarea in conditiile art. 22 sau ale art. 29 alin. (3) in situatiile in care aceasta notificare este obligatorie, precum si notificarea incompleta sau care contine informatii false constituie contraventii, daca nu sunt savarsite in astfel de conditii incat sa constituie infractiuni, si se sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei.
Prelucrarea nelegala a datelor cu caracter personal

Art. 32.
Prelucrarea datelor cu caracter personal de catre un operator sau de o persoana imputernicita de acesta, cu incalcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevazute la art. 12-15 sau la art. 17, constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000 lei.

Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate

Art. 33.
Neindeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor, prevazute la art. 19 si 20, constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 15.000.000 lei la 500.000.000 lei.

Refuzul de a furniza informatii

Art. 34.
Refuzul de a furniza autoritatii de supraveghere informatiile sau documentele cerute de aceasta in exercitarea atributiilor de investigare prevazute la art. 27 constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 150.000.000 lei.

Constatarea contraventiilor si aplicarea sanctiunilor

Art. 35.
(1) Constatarea contraventiilor si aplicarea sanctiunilor se efectueaza de catre autoritatea de supraveghere, care poate delega aceste atributii unor persoane recrutate din randul personalului sau, precum si de reprezentanti imputerniciti ai organelor cu atributii de supraveghere si control, abilitate potrivit legii.
(2) Dispozitiile prezentei legi referitoare la contraventii se completeaza cu prevederile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, in masura in care prezenta lege nu dispune altfel.
(3) Impotriva proceselor-verbale de constatare si sanctionare se poate face plangere la sectiile de contencios administrativ ale tribunalelor.

CAPITOLUL IX

Dispozitii finale
Intrarea in vigoare
Art. 36.
Prezenta lege intra in vigoare la data publicarii ei in Monitorul Oficial al Romaniei, Partea I, si se pune in aplicare in termen de 3 luni de la intrarea sa in vigoare.
Aceasta lege a fost adoptata de Senat in sedinta din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.

 

Numarul 506/2004 Lege privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice
ARTICOLUL 1
Dispoziții generale
1) Prezenta lege stabilește condițiile specifice de garantare a dreptului la protecția vieții private în privința prelucrării datelor cu caracter personal în sectorul comunicațiilor electronice.
2) Prevederile prezentei legi se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații electronice, inclusiv al rețelelor publice de comunicații electronice care presupun dispozitive de colectare a datelor și de identificare.
3) Prevederile prezentei legi se completează cu prevederile Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.
4) Prezenta lege nu se aplică prelucrărilor de date cu caracter personal efectuate:
a) în cadrul activităților în domeniul apărării naționale și securității naționale, desfășurate în limitele și cu restricțiile stabilite de lege;
b) în cadrul activităților de combatere a infracțiunilor și de menținere a ordinii publice, precum și în cadrul altor activități în domeniul dreptului penal, desfășurate în limitele și cu restricțiile stabilite de lege.

ARTICOLUL 2
Definiții

(1) în înțelesul prezentei legi, următorii termeni se definesc după cum urmează:
a) utilizator – orice persoană fizică ce beneficiază de un serviciu de comunicații electronice destinat publicului, fără a avea în mod necesar calitatea de abonat al acestui serviciu;
b) date de trafic – orice date prelucrate în scopul transmiterii unei comunicări printr-o rețea de comunicații electronice sau în scopul facturării contravalorii acestei operațiuni;
c) date de localizare – orice date prelucrate într-o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al utilizatorului unui serviciu de comunicații electronice destinat publicului;
d) comunicare – orice informație schimbată sau transmisă între un număr determinat de participanți prin intermediul unui serviciu de comunicații electronice destinat publicului; aceasta nu include informația transmisă publicului printr-o rețea de comunicații electronice ca parte a unui serviciu de programe audiovizuale, în măsura în care nu poate fi stabilită o legătură între informația în cauză și abonatul sau utilizatorul identificabil care o primește;
e) Abrogată
f) serviciu cu valoare adăugată – orice serviciu care necesită prelucrarea datelor de trafic sau a datelor de localizare, în alte scopuri decât transmiterea comunicării ori facturarea contravalorii acestei operațiuni;
g) poștă electronică – serviciul care constă în transmiterea printr-o rețea publică de comunicații electronice a unor mesaje în format text, voce, sunet sau imagine, care pot fi stocate în rețea sau în echipamentul terminal al destinatarului până la recepționarea de către destinatar.
h) încălcare a securității datelor cu caracter personal încălcarea securității având ca rezultat distrugerea accidentală sau ilicită, pierderea, alterarea, divulgarea neautorizată ori accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod în legătură cu furnizarea de servicii de comunicații electronice destinate publicului.
2) în cuprinsul prezentei legi sunt, de asemenea, aplicabile definițiile prevăzute la art. 3 lit. a), b), c) și i) din Legea nr. 677/2001, cu modificările și completările ulterioare, la art. 1 pct. 1 și 8 din Legea nr. 365/2002 privind comerțul electronic, republicată, și la art. 4 alin. (1) pct. 3, 6, 8, 9, 10 și 36 din Ordonanța de urgență a Guvernului nr. 111/2011 privind comunicațiile electronice.

RTICOLUL 3
Securitatea prelucrării datelor cu caracter personal

1) Furnizorul unui serviciu de comunicații electronice destinat publicului are obligația de a lua măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicații electronice destinate publicului va lua aceste măsuri împreună cu furnizorul rețelei publice de comunicații electronice.
2) Măsurile adoptate potrivit alin. (1) trebuie să asigure un nivel de securitate proporțional cu riscul existent, având în vedere posibilitățile tehnice de ultimă oră și costurile implementării acestor măsuri.
3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările și completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puțin următoarele condiții:
a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale și împotriva stocării, prelucrării, accesării ori divulgării ilicite;
c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce privește prelucrarea datelor cu caracter personal.
4) Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, poate audita măsurile luate de furnizori în conformitate cu alin. (1) și poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.
5) în cazul existenței unui risc determinat de încălcarea securității datelor cu caracter personal, furnizorii de servicii de comunicații electronice destinate publicului au obligația de a informa abonații cu privire la existența acestui risc, precum și la posibilele consecințe ce decurg. în cazul în care acest risc depășește domeniul de aplicare a măsurilor pe care le pot lua furnizorii, aceștia au obligația de a informa abonații despre remediile posibile, inclusiv prin indicarea costurilor implicate.
6) în cazul unei încălcări a securității datelor cu caracter personal, furnizorii de servicii de comunicații electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.
7) Atunci când încălcarea securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieții private a unui abonat ori a unei alte persoane, furnizorul va notifica respectiva încălcare, fără întârziere, abonatului sau persoanei în cauză.
8) Notificarea prevăzută la alin. (7) nu este necesară dacă furnizorul a demonstrat ANSPDCP, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice de protecție adecvate și că respectivele măsuri au fost aplicate datelor afectate de încălcarea securității. Astfel de măsuri tehnologice de protecție trebuie să asigure faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.
9) Fără a aduce atingere obligației furnizorului de a notifica abonaților și persoanelor în cauză, în cazul în care furnizorul nu a notificat deja abonatului sau persoanei în cauză încălcarea securității datelor cu caracter personal, ANSPDCP poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.
10) Notificarea prevăzută la alin. (7) va cuprinde cel puțin o descriere a naturii încălcării securității datelor cu caracter personal și punctele de contact ale furnizorului unde pot fi obținute mai multe informații și va recomanda măsuri de atenuare a posibilelor efecte negative ale acestei încălcări. Notificarea prevăzută la alin. (6) va conține și o descriere a consecințelor încălcării securității datelor cu caracter personal, precum și a măsurilor propuse sau adoptate de furnizor în vederea remedierii acestora.
11) Sub rezerva oricăror măsuri tehnice de punere în aplicare adoptate de Comisia Europeană, ANSPDCP poate să stabilească circumstanțele în care furnizorii sunt obligați să notifice încălcări ale securității datelor cu caracter personal, formatul unei astfel de notificări și modalitățile în care se va face notificarea.
12) Furnizorii au obligația de a păstra o evidență a tuturor încălcărilor securității datelor cu caracter personal, care trebuie să cuprindă o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse, astfel încât ANSPDCP să poată verifica dacă au fost respectate obligațiile ce incumbă furnizorilor potrivit prezentului articol. Evidența va include numai informațiile necesare în acest scop.

ARTICOLUL 3^1
Proceduri de accesare

Furnizorii au obligația de a stabili proceduri interne pentru a răspunde solicitărilor de accesare a datelor cu caracter personal ale utilizatorilor. La cerere, aceștia oferă ANSPDCP informații despre procedurile respective, numărul de solicitări primite, justificarea legală invocată în solicitare și răspunsul oferit solicitanților.

ARTICOLUL 4
Confidențialitatea comunicărilor

(1) Confidențialitatea comunicărilor transmise prin intermediul rețelelor publice de comunicații electronice și a serviciilor de comunicații electronice destinate publicului, precum și confidențialitatea datelor de trafic aferente sunt garantate.
(2) Ascultarea, înregistrarea, stocarea și orice altă formă de interceptare ori supraveghere a comunicărilor și a datelor de trafic aferente sunt interzise, cu excepția cazurilor următoare:
a) se realizează de utilizatorii care participă la comunicarea respectivă;
b) utilizatorii care participă la comunicarea respectivă și-au dat, în prealabil, consimțământul scris cu privire la efectuarea acestor operațiuni;
c) se realizează de autoritățile competente, în condițiile legii.
(3) Prevederile alin. (1) și (2) nu aduc atingere posibilității de a efectua stocarea tehnică necesară, în scopul transmiterii comunicării, în condițiile respectării confidențialității.
(4) Prevederile alin. (1) și (2) nu aduc atingere posibilității de a efectua înregistrări autorizate, în condițiile legii, ale comunicărilor și datelor de trafic aferente, atunci când acestea se realizează în cadrul unor practici profesionale licite, în scopul de a furniza proba unui act comercial sau a unei comunicări realizate în scopuri comerciale.
(5) Stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiții:
a) abonatul sau utilizatorul în cauză și-a exprimat acordul;
b) abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului, în conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificările și completările ulterioare, informații clare și complete care:
(i) să fie expuse într-un limbaj ușor de înțeles și să fie ușor accesibile abonatului sau utilizatorului;
(ii) să includă mențiuni cu privire la scopul procesării informațiilor stocate de abonat sau utilizator ori informațiilor la care acesta are acces.
în cazul în care furnizorul permite unor terți stocarea sau accesul la informații stocate în echipamentul terminal al abonatului ori utilizatorului, informarea în concordanță cu pct. (i) și (ii) va include scopul general al procesării acestor informații de către terți și modul în care abonatul sau utilizatorul poate folosi setările aplicației de navigare pe internet ori alte tehnologii similare pentru a șterge informațiile stocate sau pentru a refuza accesul terților la aceste informații.
(5^1) Acordul prevăzut la alin. (5) lit. a) poate fi dat și prin utilizarea setărilor aplicației de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul ori utilizatorul și-a exprimat acordul.
(6) Prevederile alin. (5) nu aduc atingere posibilității de a efectua stocarea sau accesul tehnic la informația stocată în următoarele cazuri:
a) atunci când aceste operațiuni sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o rețea de comunicații electronice;
b) atunci când aceste operațiuni sunt strict necesare în vederea furnizării unui serviciu al societății informaționale, solicitat în mod expres de către abonat sau utilizator.

ARTICOLUL 5
Datele de trafic

(1) Datele de trafic referitoare la abonați și utilizatori, prelucrate și stocate de către furnizorul unei rețele publice de comunicații electronice sau de către furnizorul unui serviciu de comunicații electronice destinat publicului, trebuie să fie șterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepția situațiilor prevăzute la alin. (2), (3) și (5).
(2) Prelucrarea datelor de trafic efectuată în scopul facturării abonaților sau al stabilirii obligațiilor de plată pentru interconectare este permisă doar până la împlinirea unui termen de 3 ani de la data scadenței obligației de plată corespunzătoare.
(3) Furnizorul unui serviciu de comunicații electronice destinat publicului poate prelucra datele prevăzute la alin. (1), în vederea comercializării serviciilor sale sau a furnizării de servicii cu valoare adăugată, numai în măsura și pe durata necesară comercializării, respectiv furnizării acestor servicii, și numai cu consimțământul expres prealabil al abonatului sau utilizatorului la care se referă datele respective. Abonatul sau, după caz, utilizatorul își poate retrage oricând consimțământul exprimat cu privire la prelucrarea datelor de trafic.
(4) în cazurile prevăzute la alin. (2) și (3), furnizorul serviciului de comunicații electronice destinat publicului este obligat să informeze abonatul sau utilizatorul cu privire la categoriile de date de trafic care sunt prelucrate și la durata prelucrării acestora. în cazul prevăzut la alin. (3), această informare trebuie să aibă loc anterior obținerii consimțământului abonatului sau utilizatorului.
(5) Prelucrarea datelor de trafic în condițiile alin. (1)-(4) poate fi efectuată numai de către persoanele care acționează sub autoritatea furnizorilor de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului, având ca atribuții facturarea ori gestionarea traficului, relațiile cu clienții, detectarea fraudelor, comercializarea serviciilor de comunicații electronice sau furnizarea serviciilor cu valoare adăugată, și este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuții.
(6) Prevederile alin. (1)-(3) și (5) nu aduc atingere posibilității autorităților competente de a avea acces la datele de trafic, în condițiile legii.

ARTICOLUL 6
Facturarea detaliată

(1) Abonații primesc facturi nedetaliate.
(2) Emiterea facturilor detaliate se face la cererea abonaților, cu respectarea dreptului la viață privată al utilizatorilor apelanți și al abonaților apelați.
(3) Informațiile minime prezentate în cadrul facturilor detaliate sunt stabilite de ANRC.

ARTICOLUL 7
Prezentarea și restricționarea identității liniei apelante și a liniei conectate

(1) în cazul în care este oferită prezentarea identității liniei apelante, furnizorul serviciului de comunicații electronice destinat publicului are obligația de a pune la dispoziție utilizatorului apelant pentru fiecare apel, precum și abonatului apelant pentru fiecare linie, printr-un mijloc simplu și gratuit, posibilitatea de a ascunde identitatea liniei apelante, indiferent de țara de destinație a apelului.
(1^1) în cazul interconectării, furnizorul are obligația de a transmite la interfața dintre cele două rețele identitatea liniei apelante fără a o altera, modifica sau șterge.
(2) în cazul în care este oferită prezentarea identității liniei apelante, furnizorul serviciului de comunicații electronice destinat publicului are obligația de a pune la dispoziție abonatului apelat, printr-un mijloc simplu și, în limitele unei utilizări rezonabile, gratuit, posibilitatea de a ascunde identitatea liniei apelante pentru apelurile primite, indiferent de țara de origine a acestora.
(3) în cazul în care este oferită prezentarea identității liniei apelante, când prezentarea identității liniei apelante se face înainte de începerea convorbirii, furnizorul serviciului de comunicații electronice destinat publicului are obligația de a pune la dispoziție abonatului apelat, printr-un mijloc simplu, posibilitatea de a respinge apelurile primite pentru care identitatea liniei apelante a fost ascunsă de utilizatorul sau abonatul apelant, indiferent de țara de origine a apelurilor.
(4) în cazul în care este oferită prezentarea identității liniei conectate, furnizorul serviciului de comunicații electronice destinat publicului are obligația de a pune la dispoziție abonatului apelat, printr-un mijloc simplu și gratuit, posibilitatea de a ascunde identitatea liniei conectate față de utilizatorul apelant, indiferent de țara de origine a apelurilor.
(5) în cazul în care este oferită prezentarea identității liniei apelante sau a liniei conectate, furnizorii de servicii de comunicații electronice destinate publicului au obligația de a informa publicul în acest sens, inclusiv cu privire la disponibilitatea mijloacelor de ascundere a identității sau de respingere a apelurilor prevăzute la alin. (1)-(4).
(6) Abrogat

ARTICOLUL 8
Datele de localizare, altele decât datele de trafic

(1) Prelucrarea datelor de localizare, altele decât datele de trafic, referitoare la utilizatorii sau abonații rețelelor publice de comunicații electronice sau ai serviciilor de comunicații electronice destinate publicului, atunci când este posibilă, este permisă numai în unul dintre următoarele cazuri:
a) datele în cauză sunt transformate în date anonime;
b) cu consimțământul expres prealabil al utilizatorului sau abonatului la care se referă datele respective, în măsura și pentru durata necesare furnizării unui serviciu cu valoare adăugată;
c) atunci când serviciul cu valoare adăugată cu funcție de localizare are ca scop transmiterea unidirecțională și nediferențiată a unor informații către utilizatori.
(2) Furnizorul serviciului de comunicații electronice destinat publicului are obligația de a pune la dispoziție utilizatorului sau abonatului, anterior obținerii consimțământului acestuia, în conformitate cu prevederile alin. (1) lit. b), informații referitoare la:
a) tipul de date de localizare, altele decât datele de trafic, care vor fi prelucrate;
b) scopurile și durata prelucrării acestor date;
c) eventuala transmitere a datelor către un terț, în scopul furnizării serviciului cu valoare adăugată.
(3) Utilizatorii sau abonații care își dau consimțământul în vederea prelucrării datelor în conformitate cu prevederile alin. (1) lit. b) au dreptul de a-și retrage oricând consimțământul exprimat cu privire la prelucrarea datelor sau de a refuza temporar prelucrarea datelor în cauză pentru fiecare conectare la rețea sau pentru fiecare transmitere a unei comunicări. Furnizorul serviciului de comunicații electronice destinat publicului are obligația de a pune la dispoziție utilizatorilor sau abonaților un procedeu simplu și gratuit pentru exercitarea acestor drepturi.
(4) Prelucrarea datelor de localizare, altele decât datele de trafic, în condițiile alin. (1)-(3), poate fi efectuată numai de către persoanele care acționează sub autoritatea furnizorului rețelei publice de comunicații electronice sau al serviciului de comunicații electronice destinat publicului ori a terțului furnizor de servicii cu valoare adăugată și trebuie să se limiteze numai la ceea ce este necesar pentru furnizarea serviciului cu valoare adăugată.

ARTICOLUL 9
Excepții

(1) Furnizorul unei rețele publice de comunicații electronice sau al unui serviciu de comunicații electronice destinat publicului poate deroga de la prevederile art. 7 referitoare la oferirea posibilității de ascundere a identității liniei apelante, astfel:
a) temporar, în urma cererii unui abonat privind depistarea sursei unor apeluri abuzive; în acest caz datele care permit identificarea abonatului apelant vor fi păstrate și puse la dispoziție de către furnizorul rețelei publice de comunicații electronice sau al serviciului de comunicații electronice destinat publicului, în condițiile legii;
b) pentru fiecare linie, în vederea soluționării de către serviciile specializate de intervenție recunoscute în condițiile legii, precum poliție, pompieri sau ambulanță, a situațiilor ce le sunt semnalate prin apeluri de urgență.
(2) în cazul prevăzut la alin. (1) lit. b), furnizorul unei rețele publice de comunicații electronice sau al unui serviciu de comunicații electronice destinat publicului poate deroga și de la prevederile art. 8, referitoare la obținerea consimțământului abonatului sau utilizatorului cu privire la prelucrarea datelor de localizare.
(3) Derogările prevăzute la alin. (1) și (2) sunt permise în condițiile stabilite de Avocatul Poporului, cu consultarea ANRC.
(4) Abrogat

ARTICOLUL 10
Redirecționarea automată a apelului

(1) Furnizorul rețelei publice de comunicații electronice sau, după caz, al serviciului de comunicații electronice destinat publicului are obligația de a pune la dispoziție fiecărui abonat un mijloc simplu și gratuit de a bloca redirecționarea automată de către un terț a apelurilor către echipamentul terminal al abonatului respectiv.
(2) Abrogat

ARTICOLUL 11
Registrele abonaților

(1) Abonații serviciilor de comunicații electronice destinate publicului au dreptul, cu respectarea prevederilor Legii nr. 677/2001, cu modificările și completările ulterioare, de a le fi incluse datele cu caracter personal în toate registrele publice ale abonaților, în formă scrisă sau electronică.
(2) Persoanele care pun la dispoziția publicului registre ale abonaților în formă scrisă sau electronică ori care furnizează servicii de informații privind abonații au obligația de a informa abonații cu privire la scopul întocmirii acestor registre în care pot fi incluse datele lor cu caracter personal, precum și cu privire la orice posibilități ulterioare de utilizare a acestor date, bazate pe funcții de căutare integrate registrelor în formă electronică. Informarea abonaților este gratuită și se realizează înainte ca aceștia să fie incluși în registrele respective.
(3) Ulterior realizării informării prevăzute la alin. (2), furnizorii de servicii de comunicații electronice destinate publicului care atribuie numere de telefon abonaților au obligația de a le acorda acestora un termen de 45 de zile lucrătoare în care se pot opune includerii datelor necesare identificării lor în toate registrele prevăzute la alin. (1). La expirarea celor 45 de zile lucrătoare, în cazul în care abonații nu și-au exprimat voința în sens contrar, datele necesare identificării lor sunt incluse.
(4) Abonații ale căror date cu caracter personal nu sunt disponibile furnizorilor prevăzuți la alin. (3) pot solicita, în mod gratuit, includerea în toate registrele prevăzute la alin. (1).
(5) Fără a aduce atingere prevederilor alin. (3) și (4), persoanele prevăzute la alin. (2), precum și persoanele care furnizează registrele și serviciile prevăzute la alin. (1) au obligația de a asigura abonaților, în mod gratuit și fără întârziere, următoarele posibilități:
a) de a decide dacă datele lor cu caracter personal, precum și care dintre acestea vor fi sau nu incluse în aceste registre;
b) de a verifica, rectifica sau elimina datele cu caracter personal incluse în aceste registre.
(6) Registrele prevăzute la alin. (1) pot fi utilizate în alt scop, în afara simplei căutări a datelor de contact, pe baza numelui și, dacă este necesar, a unui număr limitat de alți parametri, numai cu consimțământul expres prealabil al fiecărui abonat care figurează în aceste registre.
(7) Prevederile prezentului articol se aplică, în mod corespunzător, și abonaților persoane juridice cu privire la datele care permit identificarea acestora.
(8) Fără a aduce atingere prevederilor alin. (1)-(7), persoanele care furnizează registrele și serviciile prevăzute la alin. (1) au obligația de a pune la dispoziția publicului informații clare, ușor accesibile și gratuite privind scopul întocmirii registrelor pe care le gestionează, posibilitățile de utilizare a datelor cu caracter personal pe care le dețin, bazate pe funcții de căutare integrate registrelor în formă electronică, sau exercitarea de către abonați a drepturilor prevăzute la alin. (5).

ARTICOLUL 12
Comunicările nesolicitate

(1) Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare care nu necesită intervenția unui operator uman, prin fax ori prin poștă electronică sau prin orice altă metodă care folosește serviciile de comunicații electronice destinate publicului, cu excepția cazului în care abonatul sau utilizatorul vizat și-a exprimat în prealabil consimțământul expres pentru a primi asemenea comunicări.
(2) Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obține în mod direct adresa de poștă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiția de a oferi în mod clar și expres clienților posibilitatea de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, atât la obținerea adresei de poștă electronică, cât și cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial.
(3) în toate cazurile este interzisă efectuarea prin poșta electronică de comunicări comerciale în care identitatea reală a persoanei în numele și pe seama căreia sunt făcute este ascunsă, cu încălcarea art. 5 din Legea nr. 365/2002, republicată, sau în care nu se specifică o adresă valabilă la care destinatarul să poată transmite solicitarea sa referitoare la încetarea efectuării unor asemenea comunicări ori în care sunt încurajați destinatarii să viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicată.
(4) Prevederile alin. (1) și (3) se aplică în mod corespunzător și abonaților persoane juridice.

ARTICOLUL 13
Regim sancționator

(1) Constituie contravenții următoarele fapte:
a) neîndeplinirea obligației prevăzute la art. 3 alin. (1), în condițiile stabilite potrivit art. 3 alin. (2)-(4);
b) neîndeplinirea obligației de informare prevăzute la art. 3 alin. (5);
c) neîndeplinirea obligației de informare prevăzute la art. 3 alin. (6);
d) neîndeplinirea obligației de informare prevăzute la art. 3 alin. (7);
e) nerespectarea prevederilor art. 3 alin. (10);
f) nerespectarea măsurilor stabilite de ANSPDCP potrivit prevederilor art. 3 alin. (11);
g) nerespectarea prevederilor art. 3 alin. (12);
h) nerespectarea prevederilor art. 4 alin. (2) referitoare la interdicția interceptării și supravegherii comunicărilor și datelor de trafic aferente;
i) nerespectarea condițiilor prevăzute la art. 4 alin. (5);
j) nerespectarea prevederilor art. 5 referitoare la prelucrarea datelor de trafic;
k) nerespectarea condițiilor de emitere a facturilor, stabilite potrivit art. 6;
l) încălcarea obligațiilor referitoare la disponibilitatea mijloacelor de ascundere a identității sau de respingere a apelurilor, precum și la informarea publicului, prevăzute la art. 7;
m) nerespectarea prevederilor art. 8 referitoare la prelucrarea datelor de localizare, altele decât datele de trafic;
n) nerespectarea prevederilor art. 9 referitoare la condițiile în care se poate deroga de la prevederile art. 7 sau 8;
o) încălcarea obligațiilor referitoare la posibilitatea de a bloca redirecționarea automată a apelurilor, prevăzute la art. 10;
p) neîndeplinirea obligațiilor referitoare la întocmirea registrelor abonaților, prevăzute la art. 11;
q) nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate.
(2) Contravențiile prevăzute la alin. (1) lit. a)-l), n), o) și q) se sancționează cu amendă de la 5.000 lei la 100.000 lei, iar pentru societățile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispozițiile Ordonanței Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
(3) Contravenția prevăzută la alin. (1) lit. p), precum și contravenția prevăzută la alin. (1) lit. m), săvârșite prin nerespectarea obligației prevăzute la art. 8 alin. (1) lit. b), se sancționează cu amendă de la 30.000 lei la 100.000 lei, iar pentru societățile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispozițiile Ordonanței Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
(4) Contravenția prevăzută la alin. (1) lit. k) se constată de personalul de control împuternicit în acest scop al Autorității Naționale pentru Administrare și Reglementare în Comunicații, iar sancțiunea se aplică, prin rezoluție scrisă, de către președintele acestei instituții.
(5) Constatarea contravențiilor prevăzute la alin. (1) lit. a)-j) și l)-q) și aplicarea sancțiunilor se fac de personalul împuternicit în acest scop al ANSPDCP.
(6) în măsura în care prin prezenta lege nu se prevede altfel, contravențiilor prevăzute la alin. (1) li se aplică prevederile Ordonanței Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare.
(7) ANSPDCP poate aplica amenzi cominatorii pe zi de întârziere, în cuantum de până la 5.000 lei, stabilind totodată și data de la care acestea se calculează, pentru a determina furnizorii să se supună măsurilor luate potrivit prevederilor art. 3 alin. (9).

ARTICOLUL 14
Dispoziții tranzitorii și finale

(1) Prevederile art. 11 nu se aplică în cazul registrelor abonaților întocmite sau comercializate în formă scrisă ori în formă electronică accesibilă off-line înaintea intrării în vigoare a prezentei legi.
(2) Pe data intrării în vigoare a prezentei legi se abrogă Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor, publicată în Monitorul Oficial al României, Partea I, nr. 800 din 14 decembrie 2001, cu modificările ulterioare.

ARTICOLUL 15
Transpunerea unor acte normative comunitare

Prezenta lege transpune Directiva 2002/58/CE a Parlamentului European și a Consiliului privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, publicată în Jurnalul Oficial al Comunităților Europene nr. L 201 din 31 iulie 2002.

Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 și ale art. 76 alin. (2) din Constituția României, republicată.