Protecția Datelor – Legislație

A. Legislaţie comunitară (acquis relevant)

  • Convenţia de Implementare a Acordului Schengen – art. 102-118-protecţia datelor personale în SIS şi art. 126 – 130 – protecţia datelor cu caracter personal;
  • Convenţia pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptatăla Strasbourg la 28 ianuarie 1981;
  • Directiva Consiliului 95/46/EC a Parlamentului European şi a Consiliului European din 24 octombrie 1995 cu privire la protecţia persoanelor referitoare la procesarea datelor personale si la libera circulaţie a acestor date (OJL 281, 23.11.1995, p.31);
  • Directiva 2002/58/EC a Parlamentului European şi a Consiliului din 12.07.2002 privind procesarea datelor personale şi protecţia intimităţii în sectorul comunicaţiilor electronice.
  • Regulamentul (EC) nr. 45/2001 al Parlamentului European şi al Consiliului privind protecţia persoanelor cu privire la procesarea datelor personale de către instituţiile şi organismele comunitare şi la libera circulaţie a acestor date.

B. Legislaţie internă

  • Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
  • Legea nr. 682/2001 privind ratificarea de către România a Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;
  • Legea nr. 102/2005 privind înfiinţarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 

DEFINIŢII:

date cu caracter personal – orice informaţii referitoare la o persoana fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;

prelucrarea datelor cu caracter personal – orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terti prin transmitere, diseminare sau in orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;

stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese;

sistem de evidenţă a datelor cu caracter personal – orice structură organizată de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent daca aceasta structura este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice;

operator – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile si structurile teritoriale ale acestora, care stabileşte scopul si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau in baza acelui act normative.

persoana împuternicită de către operator – o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile si structurile teritoriale ale acestora, care prelucreazădate cu caracter personal pe seama operatorului;

terţ– orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, alta decât persoana vizata, operatorul ori persoana împuternicită sau persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;

destinatar – orice persoanăfizicăsau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terţ; autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de ancheta nu vor fi considerate destinatari;

date anonime – date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă

DREPTURILE PERSOANEI VIZATE: (extras din Legea 677/2001, cap 4, art 12-18)

Informarea persoanei vizate
Art. 12.

  1. În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care această persoană posedă deja informaţiile respective:
    1. identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;
    2. scopul în care se face prelucrarea datelor;
    3. informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza; existenţa drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;
    4. orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.
  2. În cazul în care datele nu sunt obţinute direct de la persoana vizată, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care persoana vizată posedă deja informaţiile respective:
    1. identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;
    2. scopul în care se face prelucrarea datelor;
    3. informaţii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenţa drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;
    4. orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.
  3. Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
  4. Prevederile alin. (2) nu se aplică în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ştiinţifică, ori în orice alte situaţii în care furnizarea unor asemenea informaţii se dovedeşte imposibilă sau ar implica un efort disproporţionat faţă de interesul legitim care ar putea fi lezat, precum şi în situaţiile în care înregistrarea sau dezvăluirea datelor este expres prevăzută de lege.

Dreptul de acces la date
Art. 13.

  1. Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, cel puţin următoarele:
    1. informaţii referitoare la scopurile prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;
    2. comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum şi a oricărei informaţii disponibile cu privire la originea datelor;
    3. informaţii asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;
    4. informaţii privind existenţa dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot fi exercitate;
    5. informaţii asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor de date cu caracter personal, prevăzut la art. 24, de a înainta plângere către autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului, în conformitate cu dispoziţiile prezentei legi.
  2. Persoana vizată poate solicita de la operator informaţiile prevăzute la alin. (1), printr-o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
  3. Operatorul este obligat să comunice informaţiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).
  4. În cazul datelor cu caracter personal legate de starea de sănătate, cererea prevăzută la alin. (2) poate fi introdusă de persoana vizată fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele căreia este introdusă. La cererea operatorului sau a persoanei vizate comunicarea prevăzută la alin. (3) poate fi făcută prin intermediul unui cadru medical desemnat de persoana vizată.
  5. În cazul în care datele cu caracter personal legate de starea de sănătate sunt prelucrate în scop de cercetare ştiinţifică, dacă nu există, cel puţin aparent, riscul de a se aduce atingere drepturilor persoanei vizate şi dacă datele nu sunt utilizate pentru a lua decizii sau măsuri faţă de o anumită persoană, comunicarea prevăzută la alin. (3) se poate face şi într-un termen mai mare decât cel prevăzut la acel alineat, în măsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetării, şi nu mai târziu de momentul în care cercetarea este încheiată. În acest caz persoana vizată trebuie să îşi fi dat în mod expres şi neechivoc consimţământul ca datele să fie prelucrate în scop de cercetare ştiinţifică, precum şi asupra posibilei amânări a comunicării prevăzute la alin. (3) din acest motiv.
  6. Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.

Dreptul de intervenţie asupra datelor
Art. 14.

  1. Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
    1. după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;
    2. după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;
    3. notificarea către terţii cărora le-au fost dezvăluite datele a oricărei operaţiuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.
  2. Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizatăva înainta operatorului o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
  3. Operatorul este obligat să comunice măsurile luate în temeiul alin. (1), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).

Dreptul de opoziţie
Art. 15.

  1. Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauză.
  2. Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit şi fără nici o justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terţ, sau să fie dezvăluite unor terţi într-un asemenea scop.
  3. În vederea exercitării drepturilor prevăzute la alin. (1) şi (2) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
  4. Operatorul este obligat să comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (3).

Excepţii
Art. 16.

  1. Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se aplică în cazul activităţilor prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciată eficienţa acţiunii sau obiectivul urmărit în îndeplinirea atribuţiilor legale ale autorităţii publice.
  2. Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfăşurarea activităţilor menţionate la art. 2 alin. (5).
  3. După încetarea situaţiei care justifică aplicarea alin. (1) şi (2) operatorii care desfăşoară activităţile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
  4. Autorităţile publice ţin evidenţa unor astfel de cazuri şi informează periodic autoritatea de supraveghere despre modul de soluţionare a lor.

Dreptul de a nu fi supus unei decizii individuale
Art. 17.

  1. Orice persoană are dreptul de a cere şi de a obţine:
    1. retragerea sau anularea oricărei decizii care produce efecte juridice în privinţa sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii sale, precum competenţa profesională, credibilitatea, comportamentul său ori alte asemenea aspecte;
    2. reevaluarea oricărei alte decizii luate în privinţa sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care întruneşte condiţiile prevăzute la lit. a).
  2. Respectându-se celelalte garanţii prevăzute de prezenta lege, o persoană poate fi supusă unei decizii de natura celei vizate la alin. (1), numai în următoarele situaţii:
    1. decizia este luată în cadrul încheierii sau executării unui contract, cu condiţia ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută sau ca unele măsuri adecvate, precum posibilitatea de a-şi susţine punctul de vedere, să garanteze apărarea propriului interes legitim;
    2. decizia este autorizată de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.

 Dreptul de a se adresa justiţiei
Art. 18.

(1) Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost încălcate.

(2) Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.

(3) Instanţa competentă este cea în a cărei rază teritorială domiciliază reclamantul. Cererea de chemare în judecată este scutită de taxă de timbru.


Instituția Prefectului Județului Tulcea