1

P PR RO OT TE EC C I IA A D DA AT TE EL LO OR R C CU U C CA AR RA AC CT TE ER R P PE ER RS SO ON NA AL L

Protectia datelor cu caracter personal

Acquis relevant

Convenia de punere n aplicare a Acordului Schengen din 14 iunie 1985 ntre guvernele statelor din Uniunea
Economic Benelux, Republicii Federale Germania i Republicii Franceze privind eliminarea treptat a
controalelor la frontierele comune, publicat n Jurnalul Oficial al Uniunii EuropeneL 239, 22.9.2000, p. 19.
Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la
Strasbourg la 28 ianuarie 1981, ratificat prin Legea nr.682/2001.
Decizia cadru 977/2008/JAI privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii
poliieneti i judiciare n materie penal.
Decizia-cadru 2006/960/JAI a Consiliului privind simplificarea schimbului de informaii i date operative ntre
autoritile de aplicare a legii ale statelor membre ale Uniunii Europene.
Directiva 95/46/CE, publicat n Jurnalul Oficial al Uniunii Europene L 281, 23.11.1995;
Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (ETS nr.
108), Consiliul Europei, 28.1.1981 (Convenia 108 a Consiliului Europei).
Protocolul adiional la Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu
caracter personal, cu privire la autoritile de control i fluxul transfrontalier al datelor, adoptat la Strasbourg la 18
noiembrie 2001, ratificat prin Legea nr. 55 /2005;


Legislaia naional care asigur cadrul juridic pentru aplicarea acquis-ului n domeniu

Decizia ANSPDCP Nr. 60 din 6 iunie 2006 privind stabilirea unor formulare tipizate ale notificrilor prevzute de
Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera
circulaie a acestor date;
Decizia ANSPDCP Nr. 89 din 18 iulie 2006 privind stabilirea categoriilor de operaiuni de prelucrare a datelor cu
caracter personal, susceptibile de a prezenta riscuri speciale pentru drepturile i libertile persoanelor;
Decizia ANSPDCP Nr. 90 din 18 iulie 2006 privind cazurile n care nu este necesar notificarea prelucrrii unor
date cu caracter personal;
Decizia ANSPDCP Nr. 91 din 18 iulie 2006 privind cazurile n care este permis notificarea simplificat a
prelucrrii datelor cu caracter personal;
Hotrrea Guvernului nr.781 din 25.07.2002 privind protecia informaiilor secrete de serviciu;
HOTRREA nr. 16/2005 pentru aprobarea Regulamentului de organizare i funcionare a Autoritii Naionale
de Supraveghere a Prelucrrii Datelor cu Caracter Personal;
Instruciunile ministrului administraiei i internelor nr. 27/2010 privind msurile de natur organizatorica si
tehnic pentru asigurarea securitii prelucrrilor de date cu caracter personal efectuate de ctre structurile/unittile
Ministerului Administraiei si Internelor;
Legea 238/2009 privind reglementarea prelucrrii datelor cu caracter personal de ctre structurile/unittile
Ministerului Administraiei i Internelor n activitile de prevenire, cercetare i combatere a infraciunilor, precum
i de meninere i asigurare a ordinii publice;
Legea nr. 102 din 03.05.2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supraveghere
a Prelucrrii Datelor cu Caracter Personal;
Legea nr. 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supraveghere a
Prelucrrii Datelor cu Caracter Personal - denumit n continuare A.N.S.P.D.C.P;
Legea nr. 677 din 21.11.2001, privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i
libera circulaie a acestor date;
Ordinul Avocatului Poporului nr. 75/2002 privind stabilirea unor msuri i proceduri specifice care s asigure un
nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul
prelucrrilor);
Ordinul Avocatului Poporului nr.52/2002 privind aprobarea Cerinelor minime de securitate a prelucrrilor de date
cu caracter personal;


1. Imperativitatea proteciei datelor cu caracter personal

1.1. Principiile care stau la baza proteciei datelor cu caracter personal sunt:

a) prelucrate cu buna-credin i n conformitate cu dispoziiile legale n vigoare;
2

Prelucrarea datelor include colectarea, nregistrarea, organizarea, stocarea, consultarea, utilizarea, transferul,
combinarea, blocarea, tergerea sau distrugerea lor.
Datele obinute se vor prelucra numai n scopurile permise de lege.
Legea impune condiii suplimentare cnd este vorba de date sensibile, referitoare la originea rasial sau
etnic, convingerile politice, religioase, apartenena sindical, starea de sntate sau viaa sexual.

b) colectate n scopuri determinate, explicite i legitime;

Prelucrarea ulterioar a datelor cu caracter personal n scopuri statistice, de cercetare istoric sau tiinific
nu va fi considerat incompatibil cu scopul colectrii dac se efectueaz cu respectarea dispoziiilor legilor n
vigoare, inclusiv a celor care privesc efectuarea notificrii ctre autoritatea de supraveghere, precum i cu
respectarea garaniilor privind prelucrarea datelor cu caracter personal, prevzute de normele care reglementeaz
activitatea statistica ori cercetarea istoric sau tiinific;

c) adecvate, pertinente i neexcesive prin raportare la scopul n care sunt colectate i ulterior
prelucrate;

d) exacte i, dac este cazul, actualizate; n acest scop se vor lua msurile necesare pentru ca datele
inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate i pentru care
vor fi ulterior prelucrate, s fie terse sau rectificate;

e) stocate ntr-o form care s permit identificarea persoanelor vizate strict pe durata necesar
realizrii scopurilor n care datele sunt colectate i n care vor fi ulterior prelucrate;

Stocarea datelor pe o durata mai mare dect cea menionat, n scopuri statistice, de cercetare istoric
sau tiinific, se va face cu respectarea garaniilor privind prelucrarea datelor cu caracter personal, prevzute n
normele care reglementeaz aceste domenii, i numai pentru perioada necesar realizrii acestor scopuri.

1.2. Legitimitatea prelucrrilor
Cu anumite excepii [a se vedea categoriile speciale de date (ex. : datele legate de originea rasial),
datele cu caracter personal avnd funcie de identificare (ex: codul numeric personal) i datele cu caracter
personal referitoare la fapte penale sau contravenii, care beneficiaz de un regim special], orice prelucrare de
date cu caracter personal poate fi efectuat numai dac persoana vizat i-a dat consimmntul n mod expres i
neechivoc pentru acea prelucrare.
Consimmntul persoanei vizate nu este necesar n urmtoarele cazuri:
a) cnd prelucrarea este necesar n vederea executrii unui contract sau antecontract la care persoana
vizat este parte ori n vederea lurii unor msuri, la cererea acesteia, naintea ncheierii unui contract sau
antecontract;
b) cnd prelucrarea este necesar n vederea protejrii vieii, integritii fizice sau sntii persoanei
vizate ori a unei alte persoane ameninate;
c) cnd prelucrarea este necesar n vederea ndeplinirii unei obligaii legale a operatorului;
d) cnd prelucrarea este necesar n vederea aducerii la ndeplinire a unor msuri de interes public sau
care vizeaz exercitarea prerogativelor de autoritate public cu care este nvestit operatorul sau terul cruia i
sunt dezvluite datele;
e) cnd prelucrarea este necesar n vederea realizrii unui interes legitim al operatorului sau al terului
cruia i sunt dezvluite datele, cu condiia ca acest interes s nu prejudicieze interesul sau drepturile i libertile
fundamentale ale persoanei vizate.
f) cnd prelucrarea privete date obinute din documente accesibile publicului, conform legii;
g) cnd prelucrarea este fcut exclusiv n scopuri statistice, de cercetare istoric sau tiinific, iar
datele rmn anonime pe toat durata prelucrrii.


1.3. Categorii special de date cu caracter personal
Prelucrarea datelor cu caracter personal legate de originea rasial sau etnic, de convingerile
politice, religioase, filozofice sau de natur similar, de apartenena sindical, precum i a datelor cu caracter
personal privind starea de sntate sau viaa sexual este interzis.

Excepii de la aceast regul apar n urmtoarele cazuri:
3
a) cnd persoana vizat i-a dat n mod expres consimmntul pentru o astfel de prelucrare;
b) cnd prelucrarea este necesar n scopul respectrii obligaiilor sau drepturilor specifice ale
operatorului n domeniul dreptului muncii, cu respectarea garaniilor prevzute de lege; o eventual dezvluire
ctre un ter a datelor prelucrate poate fi efectuat numai dac exist o obligaie legal a operatorului n acest
sens sau dac persoana vizat a consimit expres la aceast dezvluire;
c) cnd prelucrarea este necesar pentru protecia vieii, integritii fizice sau a sntii persoanei vizate
ori a altei persoane, n cazul n care persoana vizat se afl n incapacitate fizic sau juridic de a-i da
consimmntul;
d) cnd prelucrarea este efectuat n cadrul activitilor sale legitime de ctre o fundaie, asociaie sau de
ctre orice alt organizaie cu scop nelucrativ i cu specific politic, filozofic, religios ori sindical, cu condiia ca
persoana vizat s fie membr a acestei organizaii sau s ntrein cu aceasta, n mod regulat, relaii care privesc
specificul activitii organizaiei i ca datele s nu fie dezvluite unor teri fr consimmntul persoanei vizate;
e) cnd prelucrarea se refer la date fcute publice n mod manifest de ctre persoana vizat;
f) cnd prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept n justiie;
g) cnd prelucrarea este necesar n scopuri de medicin preventiv, de stabilire a diagnosticelor
medicale, de administrare a unor ngrijiri sau tratamente medicale pentru persoana vizat ori de gestionare a
serviciilor de sntate care acioneaz n interesul persoanei vizate, cu condiia ca prelucrarea datelor respective
s fie efectuate de ctre ori sub supravegherea unui cadru medical supus secretului profesional sau de ctre ori
sub supravegherea unei alte persoane supuse unei obligaii echivalente n ceea ce privete secretul;
h) cnd legea prevede n mod expres aceasta n scopul protejrii unui interes public important, cu
condiia ca prelucrarea s se efectueze cu respectarea drepturilor persoanei vizate i a celorlalte garanii
prevzute de prezenta lege.

Prelucrarea codului numeric personal sau a altor date cu caracter personal avnd o funcie de
identificare de aplicabilitate general poate fi efectuat numai dac:
a) persoana vizat i-a dat n mod expres consimmntul; sau
b) prelucrarea este prevzut n mod expres de o dispoziie legal.
Autoritatea de supraveghere poate stabili i alte cazuri n care se poate efectua prelucrarea acestor date,
numai cu condiia instituirii unor garanii adecvate pentru respectarea drepturilor persoanelor vizate.
Prelucrarea datelor cu caracter personal privind starea de sntate pot fi prelucrate numai dac:
a) dac prelucrarea este necesar pentru protecia sntii publice;
b) dac prelucrarea este necesar pentru prevenirea unui pericol iminent, pentru prevenirea svririi
unei fapte penale sau pentru mpiedicarea producerii rezultatului unei asemenea fapte ori pentru nlturarea
urmrilor prejudiciabile ale unei asemenea fapte
Prelucrarea datelor privind starea de sntate poate fi efectuat numai de ctre ori sub supravegherea
unui cadru medical, cu condiia respectrii secretului profesional, cu excepia situaiei n care persoana vizata si-
a dat n scris i n mod neechivoc consimmntul atta timp ct acest consimmnt nu a fost retras, precum i
cu excepia situaiei n care prelucrarea este necesar pentru prevenirea unui pericol iminent, pentru prevenirea
svririi unei fapte penale, pentru mpiedicarea producerii rezultatului unei asemenea fapte sau pentru
nlturarea urmrilor sale prejudiciabile.
Cadrele medicale, instituiile de sntate i personalul medical al acestora pot prelucra date cu caracter
personal referitoare la starea de sntate, fr autorizaia autoritii de supraveghere, numai dac prelucrarea este
necesar pentru protejarea vieii, integritii fizice sau sntii persoanei vizate. Cnd scopurile menionate se
refer la alte persoane sau la public n general i persoana vizata nu si-a dat consimmntul n scris i n mod
neechivoc, trebuie cerut i obinut n prealabil autorizaia autoritii de supraveghere. Prelucrarea datelor cu
caracter personal n afar limitelor prevzute n autorizaie este interzis.
Cu excepia motivelor de urgenta, autorizaia prevzut la paragraful anterior poate fi acordat numai
dup ce a fost consultat Colegiul Medicilor din Romnia.
Datele cu caracter personal privind starea de sntate pot fi colectate numai de la persoana vizat. Prin
excepie, aceste date pot fi colectate din alte surse numai n msura n care este necesar pentru a nu compromite
scopurile prelucrrii, iar persoana vizat nu vrea ori nu le poate furniza.

Prelucrarea datelor cu caracter personal referitoare la svrirea de infraciuni de ctre persoana
vizat ori la condamnri penale, msuri de siguran sau sanciuni administrative ori contravenionale, aplicate
persoanei vizate, poate fi efectuat numai de ctre sau sub controlul autoritilor publice, n limitele puterilor ce
le sunt conferite prin lege i n condiiile stabilite de legile speciale care reglementeaz aceste materii.
ANSPDCP poate stabili i alte cazuri n care se poate efectua prelucrarea acestor date numai cu condiia
instituirii unor garanii adecvate pentru respectarea drepturilor persoanelor vizate. n acelai timp, un registru
complet al condamnrilor penale poate fi inut numai sub controlul unei autoriti publice, n limitele puterilor ce
i sunt conferite prin lege.
4
Fa de regulile speciale anume expuse ar mai fi de adugat faptul c acestea nu se aplic n situaia n
care prelucrarea datelor se face exclusiv n scopuri jurnalistice, literare sau artistice, dac prelucrarea privete
date cu caracter personal care au fost fcute publice n mod manifest de ctre persoana vizat sau care sunt strns
legate de calitatea de persoan public a persoanei vizate ori de caracterul public al faptelor n care este
implicat.

2. Msuri organizatorice i tehnice pentru asigurarea proteciei datelor cu caracter personal
Operatorul este obligat s aplice msurile tehnice i organizatorice adecvate pentru protejarea datelor cu
caracter personal mpotriva distrugerii accidentale sau ilegale, pierderii, modificrii, dezvluirii sau accesului
neautorizat, n special dac prelucrarea respectiv comport transmisii de date n cadrul unei reele, precum i
mpotriva oricrei alte forme de prelucrare ilegal.
Aceste msuri trebuie s asigure, potrivit stadiului tehnicii utilizate n procesul de prelucrare i de costuri, un
nivel de securitate adecvat n ceea ce privete riscurile pe care le reprezint prelucrarea, precum i n ceea ce
privete natura datelor care trebuie protejate.
Cerinele minime de securitate a bazelor de date :

.2.1. Identificarea i autentificarea utilizatorului
Prin utilizator se nelege orice persoan care acioneaz sub autoritatea operatorului, a persoanei
mputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.
Utilizatorii, pentru a cpta acces la o baz de date cu caracter personal, trebuie s se identifice.
Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatur
(un ir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a
unei cartele magnetice.
Fiecare utilizator are propriul su cod de identificare. Niciodat mai muli utilizatori nu trebuie s aib
acelai cod de identificare.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioad mai ndelungat trebuie
dezactivate i distruse dup un control prealabil intern al operatorului. Perioada dup care codurile trebuie
dezactivate i distruse se stabilete de operator.
Orice cont de utilizator este nsoit de o modalitate de autentificare. Autentificarea poate fi fcut prin
introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopic, amprenta vocal, etc.
Parolele sunt iruri de caractere. Cu ct irul de caractere este mai lung, cu att parola este mai greu de
aflat. La introducerea parolelor acestea nu trebuie s fie afiate n clar pe monitor. Parolele trebuie schimbate
periodic n funcie de politicile de securitate ale entitii (operator sau persoan mputernicit). Schimbarea
periodic a parolelor se face numai de ctre utilizatori autorizai de operator.
Operatorul trebuie s solicite realizarea unui sistem informaional care s refuze automat accesul unui
utilizator dup 5 introduceri greite ale parolei.
Orice utilizator care primete un cod de identificare i un mijloc de autentificare trebuie s pstreze
confidenialitatea acestora i s rspund n acest sens n faa operatorului.
Fiecare entitate va stabili o procedur proprie de administrare i gestionare a conturilor de utilizator.
Operatorii autorizeaz anumii utilizatori pentru a revoca sau a suspenda un cod de identificare i
autentificare, dac utilizatorul acestora i-a dat demisia ori a fost concediat, i-a ncheiat contractul, a fost
transferat la alt serviciu i noile sarcini nu i solicit accesul la date cu caracter personal, a abuzat de codurile
primite sau dac va absenta o perioad ndelungat stabilit de entitate.
Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste
aprobate de conducerea entitii.

2.2. Tipul de acces
Utilizatorii trebuie s acceseze numai datele cu caracter personal necesare pentru ndeplinirea
atribuiilor lor de serviciu. Pentru aceasta operatorii trebuie s stabileasc tipurile de acces dup funcionalitate
(cum ar fi: administrare, introducere, prelucrare, salvare etc.) i dup aciuni aplicate asupra datelor cu caracter
personal (cum ar fi: scriere, citire, tergere), precum i procedurile privind aceste tipuri de acces.
Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu
caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal dup ce acestea
au fost transformate n date anonime.
Compartimentul care asigur suportul tehnic poate avea acces la datele cu caracter personal pentru
rezolvarea unor cazuri excepionale.
Pentru activitatea de pregtire a utilizatorilor sau pentru realizarea de prezentri se vor folosi date
anonime. Angajaii care predau cursurile de pregtire vor folosi date cu caracter personal pe parcursul propriei
lor pregtiri.
5
Operatorul va stabili modalitile stricte prin care se vor distruge datele cu caracter personal.
Autorizarea pentru aceast prelucrare de date cu caracter personal trebuie limitat la civa utilizatori.

2.3. Colectarea datelor
Operatorul desemneaz utilizatori autorizai pentru operaiile de colectare i introducere de date cu
caracter personal ntr-un sistem informaional.
Orice modificare a datelor cu caracter personal se poate face numai de ctre utilizatori autorizai
desemnai de operator.
Operatorul va lua msuri pentru ca sistemul informaional s nregistreze cine a fcut modificarea, data
i ora modificrii. Pentru o mai bun administrare operatorul va lua msuri ca sistemul informaional s menin
datele terse sau modificate.

2.4. Execuia copiilor de siguran
Operatorul stabilete intervalul de timp la care se vor executa copiile de siguran ale bazelor de date cu
caracter personal, precum i ale programelor folosite pentru prelucrrile automatizate. Utilizatorii care execut
aceste copii de siguran vor fi numii de operator, ntr-un numr restrns. Copiile de siguran se vor stoca n
alte camere, n fiete metalice cu sigiliu aplicat, i, dac este posibil, chiar n camere din alt cldire.
Operatorul trebuie s ia msuri ca accesul la copiile de siguran s fie monitorizat.

2.5. Computerele i terminalele de acces
Computerele i alte terminale de acces pot fi instalate n ncperi cu acces restricionat.
Dac nu pot fi asigurate aceste condiii, computerele se vor instala n ncperi care se pot ncuia sau se
vor lua msuri ca accesul la computere s se fac cu ajutorul unor chei ori cartele magnetice.
Dac pe ecran apar date cu caracter personal asupra crora nu se acioneaz o perioad dat, stabilit de
operator, sesiunea de lucru trebuie nchis automat. Mrimea acestei perioade se determin n funcie de
operaiile care trebuie executate.
Terminalele de acces folosite n relaia cu publicul, pe care apar date cu caracter personal, vor fi
poziionate astfel nct s nu poat fi vzute de public i dup o perioad scurt, stabilit de operator, n care nu
se acioneaz asupra lor, acestea trebuie ascunse.

2.6. Fiierele de acces
Operatorul este obligat s ia msuri ca orice accesare a bazei de date cu caracter personal s fie
nregistrat ntr-un fiier de acces (numit log la prelucrrile automate) sau ntr-un registru pentru prelucrrile
manuale de date cu caracter personal, stabilit de operator.
Informaiile nregistrate n fiierul de acces sau n registru vor fi:
- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
- numele fiierului accesat (fiei);
- numrul nregistrrilor efectuate;
- tipul de acces;
- codul operaiei executate sau programul folosit;
- data accesului (an, lun, zi);
- timpul (ora, minutul, secunda).
Pentru prelucrrile automate aceste informaii vor fi stocate ntr-un fiier de acces general sau n fiiere
separate pentru fiecare utilizator. Orice ncercare de acces neautorizat va fi, de asemenea, nregistrat.
Operatorul este obligat s pstreze fiierele de acces cel puin 2 ani, pentru a fi folosite ca probe n cazul
unor investigaii. Dac investigaiile se prelungesc, aceste fiiere se vor pstra att timp ct se va considera
necesar.
Fiierele de acces trebuie s fac posibil identificarea de ctre operator sau de ctre persoana
mputernicit a persoanelor care au accesat date cu caracter personal fr un motiv anume, n vederea aplicrii
unor sanciuni sau a sesizrii organelor competente.

2.7. Sistemele de telecomunicaii
Operatorul este obligat s fac periodic controlul autentificrilor i tipurilor de acces pentru detectarea
unor disfuncionaliti n ceea ce privete folosirea sistemelor de telecomunicaii.
Operatorii sunt obligai s conceap sistemul de telecomunicaii astfel nct datele cu caracter personal
s nu poat fi interceptate sau transmise de oriunde. Dac sistemul de telecomunicaii nu poate fi astfel securizat,
operatorul este obligat s impun folosirea metodei de criptare pentru transmisia datelor cu caracter personal.
Prin sistemele de telecomunicaii se vor transmite numai datele cu caracter personal strict necesare.
6

2.8. Instruirea personalului
n cadrul cursurilor de pregtire a utilizatorilor operatorul este obligat s fac informarea acestora cu
privire la prevederile Legii nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter
personal i libera circulaie a acestor date, la cerinele minime de securitate a prelucrrilor de date cu caracter
personal, precum i cu privire la riscurile pe care le comport prelucrarea datelor cu caracter personal, n funcie
de specificul activitii utilizatorului.
Utilizatorii care au acces la date cu caracter personal vor fi instruii de ctre operator asupra
confidenialitii acestora i vor fi avertizai prin mesaje care vor aprea pe monitoare n timpul activitii.
Utilizatorii sunt obligai s i nchid sesiunea de lucru atunci cnd prsesc locul de munc.

2.9. Folosirea computerelor
Pentru meninerea securitii prelucrrii datelor cu caracter personal (n special mpotriva viruilor
informatici) operatorul va lua msuri care vor consta n:
a) interzicerea folosirii de ctre utilizatori a programelor software care provin din surse externe sau
dubioase;
b) informarea utilizatorilor n privina pericolului privind viruii informatici;
c) implementarea unor sisteme automate de devirusare i de securitate a sistemelor informatice;
d) dezactivarea, pe ct posibil, a tastei Print screen, atunci cnd sunt afiate pe monitor date cu
caracter personal, interzicndu-se astfel scoaterea la imprimant a acestora.

2.10. Imprimarea datelor
Scoaterea la imprimant a datelor cu caracter personal se va realiza numai de utilizatori autorizai pentru
aceast operaiune de ctre operator. Operatorii sunt obligai s aprobe proceduri interne specifice privind
folosirea i distrugerea acestor materiale.
Fiecare entitate i va aproba propriul sistem de securitate, innd seama de aceste cerine minime de
securitate a prelucrrilor de date cu caracter personal, iar n funcie de importana datelor cu caracter personal
prelucrate, i va impune msuri de securitate suplimentare.

3. Supravegherea video

3.1. Cine ar trebui consultat cnd se introduce un sistem de supraveghere video?
Consultarea cu prile interesate i cu autoritile competente este esenial n identificarea tuturor
problemelor proteciei datelor personale relevante. Atunci cnd se hotrte folosirea unui sistem de
supraveghere video i se stabilete cadrul i politicile necesare proteciei datelor personale, ar trebui consultate
cteva sau toate organizaiile urmtoare:
- Responsabilul cu protecia datelor personale din instituia respectiv
- Reprezentanii angajailor
- Alte pi interesate ( incluznd, n unele cazuri, autoritile locale)
- A.N.S.P.D.C.P.

3.2. Scopul supravegherii video
nainte de a decide instalarea unui sistem de supraveghere, instituia care dorete acest lucru trebuie mai
nti s stabileasc scopul pentru care se instaleaz sistemul de supraveghere i trebuie s se asigure c acest
scop este legal.
Scopul trebuie s fie clar, specific i explicit. Vag, ambiguu sau simplu nu este de ajuns. Fiind specific
scopului sistemului de supraveghere poate ajuta instituia s fie n conformitate cu legislaia n vigoare, s
evalueze succesul sistemului lor i s explice personalului i publicului de ce este nevoie de el.
Scopul sistemului de supraveghere trebuie comunicat publicului ntr-un rezumat, la avizier i detaliat pe
site-ul web al instituiei(n versiunea on-line a politicii de supraveghere video).
Limitarea privind folosirea datelor cu caracter personal trebuie s fie clar stabilit mai ales dac acest
lucru este cerut de reprezentanii angajailor sau de alte pri interesate. Mai mult, trebuie asigurat faptul c
datele cu caracter personal nu vor fi folosite ulterior pentru alte scopuri sau introduse n dispozitive neprevzute,
astfel nct ele s fie folosite pentru scopuri care nu au fost luate n calcul.
Dac o instituie folosete sistemul de supraveghere video doar pentru scopuri de securitate i acces,
acest lucru poate fi considerat ca potenial necesar pentru gestionarea i funcionarea instituiei. Din aceast
cauz, sistemul de supraveghere video se va baza pe un cadru legal.
7
n alt caz, reiese ntrebarea dac sunt incidente alte dispoziii legale pentru supravegherea video.
Exemple n acest sens pot fi urmtoarele situaii:
- atunci cnd exist o obligaie legal pentru a avea un sistem de supraveghere video;
- atunci cnd persoanele vizate i-au dat consimmntul.

Exist alternative care au un impact mai redus n viaa intim i privat?
Instituia trebuie, de asemenea, s evalueze dac exist metode care au un impact mai redus pentru a
obine rezultatul dorit, fr a se folosi sistemul de supraveghere video. Supravegherea video nu ar trebui folosit
dac alte alternative adecvate sunt disponibile. O alternativ nu poate s fie considerat adecvat dac nu este
realizabil, dac este mai puin eficient dect supravegherea video sau dac implic costuri disproporionate.
Pe de alt parte, simpla disponibilitate a tehnologiei la un pre relativ mic nu justific folosirea
sistemelor de supraveghere video.
Chiar dac o instituie concluzioneaz c exist necesitatea folosirii unui sistem de supraveghere video
i c nu sunt alte metode disponibile ce au un impact mai redus asupra vieii intime i private, ar trebui s
foloseasc aceast tehnologie n cazul n care efectele negative ale supravegherii video sunt compensate de
beneficiile acesteia.

3.3. Monitorizarea angajailor
Msuri de monitorizarea intruzive pot provoca angajailor un stres care nu este necesar i n acelai timp
pot provoca nencrederea n organizaie. De aceea, folosirea supravegherii video pentru a monitoriza cum i fac
angajai treaba ar trebui evitat, nelund n considerare cazurile de excepie n care instituia demonstreaz c are
un interes imperativ n a-i monitoriza.
De aceea, o astfel de supraveghere trebuie s fie precedat de efectuarea unei evaluri de impact realizat de
ctre instituie.
eluri ca gestionarea productivitii la locul de munc, asigurarea calitii controlului, executarea politicilor
instituiei sau oferirea de dovezi privind rezolvarea disputelor, n principiu, n mod singular nu justific
supravegherea video a angajailor n cadrul instituiei

3.4. Selectarea, poziionarea i configurarea sistemului de supraveghere video
Localizarea camerelor i unghiuri de vizionare
Localizarea camerelor ar trebui s fie aleas astfel nct s minimizeze vederea zonelor care nu sunt
relevante scopului pentru care a fost amplasat sistemul de supraveghere.
Ca regul, instalarea unui sistem de supraveghere video cu scopul de a proteja bunuri (de exemplu:
proprieti sau informaii) ale instituiei sau pentru sigurana personalului i a vizitatorilor trebuie s se limiteze
la monitorizarea:
- zonelor/spaiilor n care sunt stocate informaii sensibile , obiecte de mare valoare sau alte bunuri care
necesit o protecie sporit dintr-un motiv anume.
- Puncte de intrare i ieire ale cldirii (incluznd ieiri de urgen sau ziduri i garduri care mprejmuiesc
cldirea).
- Puncte de intrare i ieire din cldire care fac legtura cu zone pentru care nu sunt instituite drepturi de
acces i sunt separate prin ui nchise sau alt mecanism de control al accesului.
Nu poate s fie exclus ns, faptul c cerinele de securitate pot justifica o monitorizarea special n
cadrul unor cldiri. n acest caz, planurile de securitate ar trebui s cuprind politici de supraveghere video i
instituia ar trebui s justifice necesitatea i proporionalitate monitorizrii suplimentare. Justificarea necesitii i
proporionalitii unei astfel de monitorizri suplimentare se realizeaz printr-o evaluare de impact sau n alt
mod.
Numrul de camere
Numrul de camere care trebuie instalate va depinde de mrimea cldirii i de nevoile de securitate care,
la rndul su, sunt condiionate de o varietate de factori. Acelai numr i tip de camere ar putea s fie potrivite
pentru o instituie dar, n acelai timp, s fie total disproporionate pentru alt instituie. n orice caz, numrul de
camere este un bun indicator privind complexitatea i mrimea sistemului de supraveghere i ar putea sugera
creterea riscurilor ce privesc viaa privat i alte drepturi fundamentale. O dat cu creterea numrului
camerelor apare i riscul ca ele s nu fie folosite eficient i apare o suprasarcin de informaii.
n acelai timp menionm c numrul de camere trebuie cuprins n politica de supraveghere.

4. Drepturile persoanei vizate

Drepturile persoanei sunt reglementate prin Legea nr.677/2001 fiind prevzute n mod expres:
8

4.1. Dreptul la informare
Dreptul la informare, care se realizeaz n funcie de dou modaliti de obinere a datelor:
A. Cnd datele cu caracter personal sunt obinute direct de la persoana vizat, cu excepia cazului
n care aceast persoan posed deja informaiile respective, operatorul este obligat s-i furnizeze cel puin
urmtoarele informaii:
a) identitatea operatorului i a reprezentantului acestuia, dac este cazul;
b) scopul n care se face prelucrarea datelor;
c) informaii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dac furnizarea
tuturor datelor cerute este obligatorie i consecinele refuzului de a le furniza; existena drepturilor legale, n
special a dreptului de acces, de intervenie asupra datelor i de opoziie, precum i condiiile n care pot fi
exercitate;
d) orice alte informaii a cror furnizare este impus prin dispoziie a autoritii de supraveghere, innd
seama de specificul prelucrrii.
B. cnd datele nu sunt obinute direct de la persoana vizat:
Cu excepia cazului n care persoana vizat posed deja informaiile respective, operatorul este obligat
ca, n momentul colectrii datelor sau, dac se intenioneaz dezvluirea acestora ctre teri, cel mai trziu pn
n momentul primei dezvluiri, s furnizeze persoanei vizate cel puin urmtoarele informaii:
a) identitatea operatorului i a reprezentantului acestuia, dac este cazul;
b) scopul n care se face prelucrarea datelor;
c) informaii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari
ai datelor, existena drepturilor legale, n special a dreptului de acces, de intervenie asupra datelor i de opoziie,
precum i condiiile n care pot fi exercitate;
d) orice alte informaii a cror furnizare este impus prin dispoziie a autoritii de supraveghere, innd
seama de specificul prelucrrii.
De la regulile de realizare a acestui drept, menionate anterior, exist i anumite excepii:
- nu se aplic atunci cnd prelucrarea datelor se efectueaz exclusiv n scopuri jurnalistice, literare sau
artistice, dac aplicarea acestora ar da indicii asupra surselor de informare.
- nu se aplic n cazul n care prelucrarea datelor se face n scopuri statistice, de cercetare istoric sau
tiinific, ori n orice alte situaii n care furnizarea unor asemenea informaii se dovedete imposibil sau ar
implica un efort disproporionat fa de interesul legitim care ar putea fi lezat, precum i n situaiile n care
nregistrarea sau dezvluirea datelor este expres prevzut de le

4.2. Drepturile persoanei vizate n contextul prelucrri datelor cu caracter personal

Dreptul de acces la date
Orice persoana vizat are dreptul de a obine de la operator, la cerere i n mod gratuit pentru o solicitare
pe an, confirmarea faptului c datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat,
n situaia n care prelucreaz date cu caracter personal care privesc solicitantul, s comunice acestuia, mpreun
cu confirmarea, cel puin urmtoarele:
a) informaii referitoare la scopurile prelucrrii, categoriile de date avute n vedere i destinatarii sau
categoriile de destinatari crora le sunt dezvluite datele;
b) comunicarea ntr-o form inteligibil a datelor care fac obiectul prelucrrii, precum i a oricrei
informaii disponibile cu privire la originea datelor;
c) informaii asupra principiilor de funcionare a mecanismului prin care se efectueaz orice prelucrare
automat a datelor care vizeaz persoana respectiv;
d) informaii privind existenta dreptului de intervenie asupra datelor i a dreptului de opoziie, precum
i condiiile n care pot fi exercitate;
e) informaii asupra posibilitii de a consulta registrul de eviden a prelucrrilor de date cu caracter
personal, de a nainta plngere ctre autoritatea de supraveghere, precum i de a se adresa instanei pentru
atacarea deciziilor operatorului, n conformitate cu dispoziiile prezentei legi.

Dreptul de opoziie
Persoana vizat are dreptul de a se opune n orice moment, din motive ntemeiate i legitime legate de
situaia sa particular, ca date care o vizeaz s fac obiectul unei prelucrri, cu excepia cazurilor n care exista
dispoziii legale contrare. In caz de opoziie justificat prelucrarea nu mai poate viza datele n cauz.
Persoana vizata are dreptul de a se opune n orice moment, n mod gratuit i fr nici o justificare, ca
datele care o vizeaz s fie prelucrate n scop de marketing direct, n numele operatorului sau al unui ter, sau s
fie dezvluite unor teri ntr-un asemenea scop.
9

Dreptul de a nu fi supus unei decizii individuale
A .Orice persoana are dreptul de a cere i de a obine:
- retragerea sau anularea oricrei decizii care produce efecte juridice n privina sa, adoptat exclusiv pe baza
unei prelucrri de date cu caracter personal, efectuat prin mijloace automate, destinat sa evalueze unele aspecte
ale personalitii sale, precum competenta profesional, credibilitatea, comportamentul sau ori alte asemenea
aspecte;
- reevaluarea oricrei alte decizii luate n privina sa, care o afecteaz n mod semnificativ, dac decizia a fost
adoptat exclusiv pe baza unei prelucrri de date care ntrunete condiiile prevzute la lit. a).
B. Respectndu-se garaniile prevzute de legea 677/2001 , o persoana poate fi supus unei decizii de
natura celei vizate la litera A, numai n urmtoarele situaii:
- decizia este luat n cadrul ncheierii sau executrii unui contract, cu condiia ca cererea de ncheiere sau de
executare a contractului, introdus de persoana vizat, s fi fost satisfcut sau ca unele msuri adecvate, precum
posibilitatea de a-i susine punctul de vedere, s garanteze aprarea propriului interes legitim;
- decizia este autorizata de o lege care precizeaz msurile ce garanteaz aprarea interesului legitim al persoanei
vizate.

Dreptul de a se adresa justiiei
Fr a se aduce atingere posibilitii de a se adresa cu plngere autoritii de supraveghere, persoanele
vizate au dreptul de a se adresa justiiei pentru aprarea oricror drepturi garantate de prezenta lege, care le-au
fost nclcate.
Orice persoana care a suferit un prejudiciu n urma unei prelucrri de date cu caracter personal,
efectuat ilegal, se poate adresa instanei competente pentru repararea acestuia.
Instana competent este cea n a crei raz teritorial domiciliaz reclamantul. Cererea de chemare n
judecata este scutit de taxa de timbru.

Dreptul de intervenie asupra datelor
Orice persoana vizata are dreptul de a obine de la operator, la cerere i n mod gratuit:
a) dup caz, rectificarea, actualizarea, blocarea sau tergerea datelor a cror prelucrare nu este conform
prezentei legi, n special a datelor incomplete sau inexacte;
b) dup caz, transformarea n date anonime a datelor a cror prelucrare nu este conform prezentei legi;
c) notificarea ctre terii crora le-au fost dezvluite datele a oricrei operaiuni efectuate conform lit. a)
sau b), dac aceasta notificare nu se dovedete imposibil sau nu presupune un efort disproporionat fa de
interesul legitim care ar putea fi lezat.

4.3. Exercitarea drepturilor de ctre persoana vizat
Persoana vizata poate solicita de la operator informaiile, printr-o cerere ntocmit n form scris,
datat i semnat. n cerere solicitantul poate arta dac dorete ca informaiile s i fie comunicate la o anumit
adres, care poate fi i de pot electronic, sau printr-un serviciu de corespondent care s asigure c predarea i
se va face numai personal.
Operatorul este obligat s comunice informaiile solicitate, n termen de 15 zile de la data primirii
cererii, cu respectarea eventualei opiuni a solicitantului exprimate.
In cazul datelor cu caracter personal legate de starea de sntate, cererea poate fi introdus de persoana
vizat fie direct, fie prin intermediul unui cadru medical care va indica n cerere persoana n numele creia este
introdus. La cererea operatorului sau a persoanei vizate comunicarea poate fi fcut prin intermediul unui cadru
medical desemnat de persoana vizat.
In cazul n care datele cu caracter personal legate de starea de sntate sunt prelucrate n scop de
cercetare tiinific, dac nu exista, cel puin aparent, riscul de a se aduce atingere drepturilor persoanei vizate i
dac datele nu sunt utilizate pentru a lua decizii sau msuri fata de o anumit persoana, comunicarea se poate
face i ntr-un termen mai mare dect cel de 15 zile, n msura n care aceasta ar putea afecta bunul mers sau
rezultatele cercetrii, i nu mai trziu de momentul n care cercetarea este ncheiat. In acest caz persoana vizat
trebuie sa i fi dat n mod expres i neechivoc consimmntul ca datele s fie prelucrate n scop de cercetare
tiinific, precum i asupra posibilei amnri a comunicrii din acest motiv.
Persoana vizat nu poate solicita de la operator informaii atunci cnd prelucrarea datelor se efectueaz
exclusiv n scopuri jurnalistice, literare sau artistice, dac aplicarea acestora ar da indicii asupra surselor de
informare.

4.4. Limitri ale exercitri drepturilor persoanei vizate

10
Sunt prevzute de Legea nr.677/2001 care stabilete faptul c n cadrul activitilor de prevenire,
cercetare i reprimare a infraciunilor i de meninere a ordinii publice, precum i al altor activiti desfurate n
domeniul dreptului penal,
dispoziiile privind dreptul la informare, dreptul de acces, dreptul de intervenie i dreptul de opoziie nu se
aplic dac prin aplicarea acestora este prejudiciata eficienta aciunii sau obiectivul urmrit n ndeplinirea
atribuiilor legale ale autoritii publice.
Limitarea acestor drepturi este aplicabil strict pentru perioada necesar atingerii obiectivului urmrit
prin desfurarea activitilor de prevenire, cercetare i reprimare a infraciunilor i de meninere a ordinii
publice, precum i al altor activiti desfurate n domeniul dreptului penal.
Dispoziiile Legii nr.238/2009 sunt mai specifice n acest sens i stabilesc faptul c dispoziiile
referitoare la exercitarea drepturilor persoanei vizate, prevzute de Legea nr. 677/2001 nu se aplic pe perioada
n care o asemenea msur este necesar pentru evitarea prejudicierii activitilor specifice de prevenire,
cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, ca urmare a
cunoaterii de persoana vizat a faptului c datele sale cu caracter personal sunt prelucrate, sau este necesar
pentru protejarea persoanei vizate ori a drepturilor i libertilor altor persoane, n cazul n care exist date i
informaii c aceste drepturi i liberti sunt puse n pericol.


5. Autoritatea Naional de Supraveghere a prelucrrii Datelor cu Caracter Personal

n statele membre ale Uniunii Europene, activitatea de protecie a datelor cu caracter personal revine
unor autoriti sau instituii special constituite pentru ndeplinirea unor astfel de competene. n vederea alinierii
legislaiei Romniei la acquis-ul comunitar, prin Legea nr. 102/2005, intrat n vigoare la data de 12 mai 2005, a
fost nfiinat Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal.
Statutul de autoritate independent este consacrat chiar la primul articol al acestui act normativ, unde se
precizeaz c Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal este o autoritate
public autonom i independent fa de orice autoritate a administraiei publice, ca i fa de orice persoan
fizic sau juridic din domeniul privat. Potrivit legii, Autoritatea nu poate fi supus nici unui mandat imperativ
sau reprezentativ i nu poate fi obligat s se supun instruciunilor sau dispoziiilor altei autoriti publice sau
entiti de drept privat.
Autoritatea are drept obiectiv aprarea drepturilor i libertilor fundamentale ale persoanelor fizice, n
special a dreptului la via intim, familial i privat, n legtur cu prelucrarea datelor cu caracter personal i
libera circulaie a acestor date.

5.1. Atribuii
Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal i desfoar
activitatea n condiii de complet independen i imparialitate. Autoritatea monitorizeaz i controleaz sub
aspectul legalitii prelucrrile de date cu caracter personal care cad sub incidena Legii nr. 677/2001. n acest
scop, autoritatea de supraveghere exercit urmtoarele atribuii:
primete i analizeaz notificrile privind prelucrarea datelor cu caracter personal;
autorizeaz prelucrrile de date n situaiile prevzute de lege;
poate dispune, n cazul n care constat nclcarea dispoziiilor prezentei legi, suspendarea provizorie
sau ncetarea prelucrrii datelor, tergerea parial ori integral a datelor prelucrate i poate s sesizeze organele
de urmrire penal sau s intenteze aciuni n justiie;
informeaz persoanele fizice i/sau juridice asupra necesitii respectrii obligaiilor i ndeplinirii
procedurilor prevzute de Legea nr. 677/2001;
pstreaz i pune la dispoziia publicului registrul de eviden a prelucrrilor de date cu caracter
personal;
primete i soluioneaz plngeri, sesizri sau cereri de la persoanele fizice i comunic soluia dat
ori, dup caz, demersurile efectuate;
efectueaz controale prealabile n situaia n care operatorul prelucreaz date cu caracter personal care
sunt susceptibile de a prezenta riscuri speciale pentru drepturile i libertile persoanelor;
efectueaz investigaii din oficiu sau la primirea unor plngeri ori sesizri;
este consultat atunci cnd se elaboreaz proiecte de acte normative referitoare la protecia drepturilor
i libertilor persoanelor, n privina prelucrrii datelor cu caracter personal;
poate face propuneri privind iniierea unor proiecte de acte normative sau modificarea actelor
normative n vigoare n domenii legate de prelucrarea datelor cu caracter personal;
11
coopereaz cu autoritile publice i cu organele administraiei publice, centralizeaz i analizeaz
rapoartele anuale de activitate ale acestora privind protecia persoanelor n privina prelucrrii datelor cu caracter
personal;
formuleaz recomandri i avize asupra oricrei chestiuni legate de protecia drepturilor i libertilor
fundamentale n privina prelucrrii datelor cu caracter personal, la cererea oricrei persoane, inclusiv a
autoritilor publice i a organelor administraiei publice;
coopereaz cu autoritile similare din strintate, n vederea asistenei mutuale, precum i cu
persoanele cu domiciliul sau cu sediul n strintate, n scopul aprrii drepturilor i libertilor fundamentale ce
pot fi afectate prin prelucrarea datelor cu caracter personal;
ndeplinete alte atribuii prevzute de lege.
Autoritatea este condus de un preedinte a crui funcie este asimilat celei de secretar de stat.
Preedintele Autoritii este numit de Senat, pentru un mandat cu durata de 5 ani, care poate fi rennoit o
singur dat. nainte de nceperea exercitrii mandatului, preedintele Autoritii depune n faa plenului
Senatului jurmntul de credin.
Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal a nceput s
funcioneze independent de instituia Avocatul Poporului de la 1 ianuarie 2006.
La sfritul fiecrui an ANSPDCP emite un raport, care este prezentat Senatului, referitor la activitatea
desfurat, n care sunt prezentate principalele activiti desfurate de ctre aceasta.

5.2.Controale prealabile i investigaii

Autoritatea de supraveghere controleaz, sub aspectul legalitii, prelucrrile de date cu caracter
personal care cad sub incidena legii.
Activitatea de control se realizeaz prin:
a. Control prealabil mijloc prevzut de lege prin care autoritatea de supraveghere verific ansamblul condiiilor
n care au loc prelucrrile de date care sunt susceptibile s prezinte riscuri speciale.
b. Investigaie procedeu de exercitare a atribuiilor ce revin autoritii de supraveghere pentru controlul
legalitii prelucrrilor de date cu caracter personal care intr sub incidena legii.
Pentru respectarea legii i protecia persoanei vizate, n cazul n care constat nclcarea normelor legale,
autoritatea de supraveghere poate dispune urmtoarele msuri:

a. interzicerea efecturii unor prelucrri;
b. suspendarea provizorie a unora sau a tuturor operaiunilor de prelucrare a datelor cu caracter
personal;
c. ncetarea prelucrrii datelor;
d. tergerea parial ori integral a datelor prelucrate;
e. intentarea unei aciuni n justiie pentru aprarea oricror drepturi garantate de legislaia n vigoare
persoanelor vizate;
f. sesizarea organelor de urmrire penal.

5.3.Plngeri adresate autoritii de supraveghere

n vederea aprrii drepturilor prevzute de prezenta lege; persoanele ale cror date cu caracter personal
fac obiectul unei prelucrri care cade sub incidena legii pot nainta plngere ctre autoritatea de supraveghere.
Plngerea se poate face direct sau prin reprezentant. Plngerea ctre autoritatea de supraveghere nu poate fi
naintat dac o cerere n justiie, avnd acelai obiect i aceleai pri, a fost introdus anterior.
n afara cazurilor n care o ntrziere ar cauza un prejudiciu iminent i ireparabil, plngerea ctre
autoritatea de supraveghere nu poate fi naintat mai devreme de 15 zile de la naintarea unei plngeri cu acelai
coninut ctre operator.
Dac plngerea este gsit ntemeiat, autoritatea de supraveghere poate dispune suspendarea provizorie
sau ncetarea prelucrrii datelor, tergerea parial sau integral a prelucrrii datelor i poate s sesizeze organele
de urmrire penal sau s intenteze aciune n justiie. Decizia trebuie motivat i se comunic prilor interesate
n termen de 30 de zile de la data primirii plngerii.

5.4.Contravenii i sanciuni

Autoritatea de supraveghere poate aplica sanciuni contravenionale operatorului pentru:
- omisiunea de a notifica i notificarea cu rea-credin;
- prelucrarea nelegal a datelor cu caracter personal;
12
- nendeplinirea obligaiilor privind confidenialitatea i aplicarea msurilor de securitate;
- refuzul de a furniza informaii.
Sanciunile contravenionale se aplic de ctre autoritatea de supraveghere prin personalul mputernicit
n acest scop. Cuantumul amenzilor care pot fi aplicate, n cazul svririi contraveniilor sus menionate,
variaz ntre 500 RON i 50.000 RON.
mpotriva proceselor-verbale de constatare i a deciziilor de sancionare se poate face plngere la
seciile de contencios administrativ ale tribunalelor.


6. Autoritatea European pentru Protecia Datelor

Autoritatea European pentru Protecia datelor s-a nfiinat n anul 2001 i s-a format n conformitate cu
art. 286 alin.(2) din Tratatul de Instituire a Comunitii Europene i pentru a asigura aplicarea Regulamentului
CE 45/2001, att tratatul ct i regulamentul urmresc alinierea proteciei datelor n instituiile din Comunitatea
european.

6.1. Structura Autoritii Europene pentru Protecia Datelor.
Conducerea AEPD este asigurat de ctre un preedinte i de un adjunct al preedintelui , ambii fiind
alei de comun acord de ctre Consiliul Uniunii Europene i de Parlamentul European. Att preedintele ct i
adjunctul acestuia sunt numii pe o perioad de 5 ani. n momentul de fa preedintele AEPD este Peter
HUSTINX iar adjunctul su este Giovanni BUTTARELLI. n structura AEPD mai intr i secretariatul, n cadrul
cruia lucreaz 30 de angajai.

6.2. Funciile Autoritii Europene pentru Protecia Datelor

Autoritatea European pentru Protecia Datelor are 3 funcii importante:
A- de supraveghere
B- de consultare
C- de cooperare


A. Supravegherea
Una dintre principalele sarcini ale AEPD "este de a supraveghea prelucrarea datelor cu caracter personal
de ctre instituiile i organismele europene. Aceast activitate de supraveghere ia forme diferite. Cea mai mare
parte a acestei funcii se bazeaz pe notificarea operaiunilor de prelucrare care prezint riscuri specifice.
Acestea trebuie verificate nainte de AEPD, care va examina prelucrarea datelor cu caracter personal astfel nct
acestea s fie n conformitate cu prevederile Regulamentului (CE) nr. 45/2001. n majoritatea cazurilor, acest
exerciiu duce la un set de recomandri pe care instituia sau organismul trebuie s le pun n aplicare, astfel
nct s asigure respectarea normelor de protecie a datelor.
AEPD primete plngeri din partea membrilor personalului UE, precum i de la alte persoane care simt
c datele lor cu caracter personal au fost greit folosite de ctre o instituie sau organism european.
AEPD poate adopta avize privind msurile administrative referitoare la protecia datelor adoptate de
ctre instituiile i organismele europene.
AEPD poate efectua anchete din proprie iniiativ. Anchete i inspecii sunt eseniale pentru autoritatea de
supraveghere.
n scopul de a monitoriza conformitatea cu Regulamentul (CE) nr. 45/2001, AEPD n mare msur se
bazeaz pe responsabilii cu protecia datelor (RPD) care urmeaz s fie numii n fiecare instituie / organism. n
afar de ntlnirilor bilaterale i a contactelor cu RPD, AEPD ia, de asemenea, parte la reuniunile periodice ale
reelei RPD.
Din ianuarie 2004, AEPD a asigurat supravegherea unitii centrale Eurodac. Un aspect esenial al
acestei supravegheri este cooperarea cu autoritile naionale de supraveghere, precum i ntocmirea de
recomandri pentru soluii comune la problemele existente.
AEPD public orientri tematice privind probleme critice pentru a servi ca documente de referin
pentru administraia european.

B . Consultarea
AEPD d sfaturi instituiilor i organismelor UE pe probleme de protecie a datelor cu caracter personal
ntr-o gam de domenii politice. Rolul su consultativ se refer la propuneri legislative noi, precum i la
instrumente de legi uoare, cum ar fi comunicaiile, care afecteaz protecia datelor personale n UE. AEPD
13
monitorizeaz, de asemenea, tehnologii noi care pot avea un impact asupra proteciei datelor cu caracter
personal. Obiectivul este de a asigura c drepturile fundamentale cetenilor UE mai ales protecia vieii private
i a datelor cu caracter personal sunt meninute, n timp ce societatea evolueaz.
Una din sarcinile principale ale AEPD este de a examina impactul protecia datelor cu caracter personal
i a vieii private n noua legislaie propus.
Primul instrument este un instrument de planificare. n fiecare an n decembrie, AEPD public un
inventar al prioritilor sale pentru anul urmtor.
Aceasta enumer cele mai relevante propuneri ale Comisiei, care poate necesita o reacie formal din
partea AEPD.
Al doilea i cel mai important instrument este avizul oficial public. Prin emiterea de opinii n mod
regulat, AEPD stabilete o politic coerent cu privire la aspectele de protecie a datelor.
Un al treilea instrument de intervenie sunt comentariile AEPD, care abordeaz aspecte legate de
protecia datelor, de exemplu, n comunicrile Comisiei. Un instrument final este posibilitatea de a interveni n
cazuri n faa Curii de Justiie, Tribunalul de Prim Instan i a Tribunalului Funciei Publice.

C. Cooperarea
A treia funcie de baz a AEPD-ului reprezint o colaborare structurat cu celelalte autoriti de
protecie a datelor cu caracter personal. Forum central pentru cooperare n cadrul UE este Grupul de lucru
privind articolul 29.Acesta este n cazul n care autoritile naionale de protecie a datelor cu caracter personal
se ntlnesc pentru a face schimb de opinii privind problemele actuale, pentru a discuta despre o interpretare
comun a legislaiei privind protecia datelor i pentru a oferi consultan Comisiei Europene.
AEPD particip, de asemenea, la activitile care urmresc asigurarea proteciei datelor cu caracter
personal n al treilea pilon al UE, care se refer la cooperarea poliieneasc i judiciar. Aceasta include
participarea la o serie de reuniuni cu Organismele de Supraveghere Comune ale sistemelor de informare din
treilea pilon. Ea este, de asemenea, un membru al grupului de lucru privind poliia, instituit de ctre Conferina
European, cu scopul de a pregti consultan n materie in cadrul celui de-al treilea pilon. n plus, AEPD a luat
de asemenea parte la reuniunile Autoriti de Supraveghere comune a Sistemului de Informaii Schengen, care
intr att sub incidena pilonului unu ct i sub incidena celui de al treilea.
Una dintre cele mai importante sarcini de cooperare se refer la Eurodac, n cazul n care
responsabilitile pentru supravegherea proteciei datelor cu caracter personal sunt mprite. Eurodac este un
sistem IT de mari proporii care cuprinde amprentele digitale ale solicitanilor de azil. Se compune din unitile
naionale (n funcie de legislaia naional), i o unitate central (reglementate de Regulamentul 45/2001). O
abordare coordonat este esenial, innd cont de faptul c supravegherea depinde de o colaborare ntre
autoritile naionale pentru protecia datelor cu caracter personal i AEPD. De aceea, AEPD organizeaz
ntlniri bianuale de coordonare.
Dou mari conferine de protecie a datelor cu caracter personal sunt organizate n fiecare an. n fiecare
primvar, o conferin european asambleaz oficiali autoritilor de protecie a datelor cu caracter personal din
statele membre ale UE i Consiliul Europei. i n fiecare toamn, o gam larg de experi n protecia datelor,
att din sectorul public ct i din sectorul privat, se reunesc pentru Conferina Internaionale.