Legea 677/2001

Legea nr. 677 din 21 noiembrie 2001, pentru protecia persoanelor cu privire la
prelucrarea datelor cu caracter personal i libera circulaie a acestor date are ca scop garantarea
i protejarea drepturilor i libertilor fundamentale ale persoanelor fizice, n special a dreptului
la viaa intim,familial i privat, cu privire la prelucrarea datelor cu caracter personal.
Aceast lege se aplic prelucrrilor de date cu caracter personal, efectuate, prin mijloace
automate, dar i prelucrrii prin alte mijloace dect cele automate a datelor cu caracter personal
care fac parte dintr-un sistem de eviden .
Prelucrarea datelor cu caracter personal se aplic:
1. prelucrrilor de date cu caracter personal, efectuate n cadrul activitilor desfurate de
operatori stabilii n Romnia;
2. prelucrrilor de date cu caracter personal, efectuate n cadrul activitilor desfurate de
misiunile diplomatice sau de oficiile consulare ale Romniei;
3. prelucrrilor de date cu caracter personal, efectuate n cadrul activitilor desfurate de
operatori care nu sunt stabilii n Romnia, prin utilizarea de mijloace de orice natur situate pe
teritoriul Romniei, cu excepia cazului n care aceste mijloace nu sunt utilizate dect n scopul
tranzitrii pe teritoriul Romniei a datelor cu caracter personal care fac obiectul prelucrrilor
respective.
Caracteristicile datelor cu caracter personal n cadrul prelucrrii sunt :
Datele cu caracter personal destinate a face obiectul prelucrrii trebuie s fie:
prelucrate cu bun-credin i n conformitate cu dispoziiile legale n vigoare;
colectate n scopuri determinate, explicite i legitime;
adecvate, pertinente i neexcesive prin raportare la scopul n care sunt colectate i ulterior
prelucrate;
exacte i, dac este cazul, actualizate; n acest scop se vor lua msurile necesare pentru ca
datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate s
fie terse sau rectificate;
stocate ntr-o form care s permit identificarea persoanelor vizate strict pe durata necesar
realizrii scopurilor n care datele sunt colectate i n care vor fi ulterior prelucrate; stocarea
datelor pe o durat mai mare dect cea menionat, n scopuri statistice, de cercetare istoric
sau tiinific, se va face cu respectarea garaniilor privind prelucrarea datelor cu caracter
personal, prevzute n normele care reglementeaz aceste domenii, i numai pentru perioada
necesar realizrii acestor scopuri.
Condiii de legitimitate privind prelucrarea datelor
Orice prelucrare de date cu caracter personal, cu excepia prelucrrilor care vizeaz
prelucrarea datelor cu caracter personal legate de originea rasial sau etnic, de convingerile
politice, religioase, filozofice de apartenena sindical, precum i a datelor cu caracter personal
privind starea de sntate sau viaa sexual care este interzis, prelucrarea datelor cu caracter
personal avnd funcie de identificare, prelucrarea datelor cu caracter personal referitoare la fapte
penale sau contravenii, poate fi efectuat numai dac persoana vizat i-a dat consimmntul n
mod expres i neechivoc pentru acea prelucrare.
Consimmntul persoanei vizate nu este cerut n urmtoarele cazuri:
cnd prelucrarea este necesar n vederea executrii unui contract sau antecontract la care
persoana vizat este parte ori n vederea lurii unor msuri, la cererea acesteia, naintea
ncheierii unui contract sau antecontract;
cnd prelucrarea este necesar n vederea protejrii vieii, integritii fizice sau sntii
persoanei vizate ori a unei alte persoane ameninate;
cnd prelucrarea este necesar n vederea ndeplinirii unei obligaii legale a operatorului;
cnd prelucrarea este necesar n vederea aducerii la ndeplinire a unor msuri de interes public
sau care vizeaz exercitarea prerogativelor de autoritate public cu care este nvestit operatorul
sau terul cruia i sunt dezvluite datele;
cnd prelucrarea este necesar n vederea realizrii unui interes legitim al operatorului sau al
terului cruia i sunt dezvluite datele, cu condiia ca acest interes s nu prejudicieze interesul
sau drepturile i libertile fundamentale ale persoanei vizate;
cnd prelucrarea privete date obinute din documente accesibile publicului, conform legii;
cnd prelucrarea este fcut exclusiv n scopuri statistice, de cercetare istoric sau tiinific, iar
datele rmn anonime pe toat durata prelucrrii.
Prelucrarea unor categorii speciale de date se efectuez n urmtoarele cazuri :
cnd persoana vizat i-a dat n mod expres consimmntul pentru o astfel de prelucrare;
cnd prelucrarea este necesar n scopul respectrii obligaiilor sau drepturilor specifice ale
operatorului n domeniul dreptului muncii ;
cnd prelucrarea este necesar pentru protecia vieii, integritii fizice sau a sntii persoanei
vizate ori a altei persoane, n cazul n care persoana vizat se afl n incapacitate fizic sau
juridic de a-i da consimmntul;
cnd prelucrarea este efectuat n cadrul activitilor sale legitime de ctre o fundaie, asociaie
sau de ctre orice alt organizaie cu scop nelucrativ i cu specific politic, filozofic, religios ori
sindical, cu condiia ca persoana vizat s fie membr a acestei organizaii sau s ntrein cu
aceasta, n mod regulat, relaii care privesc specificul activitii organizaiei i ca datele s nu
fie dezvluite unor teri fr consimmntul persoanei vizate;
cnd prelucrarea se refer la date fcute publice n mod manifest de ctre persoana vizat;
cnd prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept n justiie;
cnd prelucrarea este necesar n scopuri de medicin preventiv, de stabilire a diagnosticelor
medicale, de administrare a unor ngrijiri sau tratamente medicale pentru persoana vizat ori de
gestionare a serviciilor de sntate care acioneaz n interesul persoanei vizate, cu condiia ca
prelucrarea datelor respective s fie efectuate de ctre ori sub supravegherea unui cadru medical
supus secretului profesional sau de ctre ori sub supravegherea unei alte persoane supuse unei
obligaii echivalente n ceea ce privete secretul;
cnd legea prevede n mod expres aceasta n scopul protejrii unui interes public important, cu
condiia ca prelucrarea s se efectueze cu respectarea drepturilor persoanei vizate i a celorlalte
garanii prevzute de prezenta lege.
Prelucrarea datelor cu caracter personal avnd funcie de identificare
Prelucrarea codului numeric personal sau a altor date cu caracter personal avnd o funcie de
identificare de aplicabilitate general poate fi efectuat numai dac:
persoana vizat i-a dat n mod expres consimmntul; sau
prelucrarea este prevzut n mod expres de o dispoziie legal.
Autoritatea de supraveghere poate stabili i alte cazuri n care se poate efectua prelucrarea
datelor prevzute anterior, numai cu condiia instituirii unor garanii adecvate pentru respectarea
drepturilor persoanelor vizate.
Avnd n vedere prevederile art. 13 din Legea nr. 35/1997 privind organizarea i funcionarea
instituiei Avocatul Poporului, n aplicarea prevederilor art. 20 din Legea nr. 677/2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a
acestor date, a fost emis de ctre acesta Ordinul nr. 52 din 18 aprilie 2002, privind aprobarea
cerinelor minime de securitate a prelucrrilor de date cu caracter personal.
Cerinele minime de securitate a prelucrrilor de date cu caracter personal acoper
urmtoarele aspecte:
1. Identificarea i autentificarea utilizatorului
Utilizatorul este orice persoan care acioneaz sub autoritatea operatorului, a persoanei
mputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter
personal.Utilizatorul, pentru a cpta acces la o baz de date cu caracter personal, trebuie s se
identifice.Identificarea se poate face prin mai multe metode:
introducerea codului de identificare de la tastatur (un ir de caractere),
folosirea unei cartele cu cod de bare,
folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.
Fiecare utilizator are propriul su cod de identificare. Orice cont de utilizator este nsoit de
o modalitate de autentificare aceasta poate fi fcut prin introducerea unei parole sau prin
mijloace biometrice, amprenta dactiloscopic, amprenta vocal,angiografia retinian etc.
Orice utilizator care primete un cod de identificare i un mijloc de autentificare trebuie s
pstreze confidenialitatea acestora i s rspund n acest sens n faa operatorului.
Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza
unei liste aprobate de conducerea entitii.
2. Tipul de acces
Utilizatorii trebuie s acceseze numai datele cu caracter personal necesare pentru
ndeplinirea atribuiilor lor de serviciu. Pentru aceasta operatorii trebuie s stabileasc tipurile de
acces dup funcionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) i dup
aciuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, tergere), precum i
procedurile privind aceste tipuri de acces.
3. Colectarea datelor
Operatorul desemneaz utilizatori autorizai pentru operaiile de colectare i introducere de
date cu caracter personal ntr-un sistem informaional.Orice modificare a datelor cu caracter
personal se poate face numai de ctre utilizatori autorizai desemnai de operator.
4. Execuia copiilor de siguran
Utilizatorii care execut aceste copii de siguran vor fi numii de operator, ntr-un numr
restrns.Copiile de siguran se vor stoca n alte camere, n fiete metalice cu sigiliu aplicat, i,
dac este posibil, chiar n camere din alt cldire.
5. Computerele i terminalele de acces
Computerele i alte terminale de acces vor fi instalate n ncperi cu acces restricionat.
Terminalele de acces folosite n relaia cu publicul, pe care apar date cu caracter personal, vor fi
poziionate astfel nct s nu poat fi vzute de public i dup o perioad scurt, n care nu se
acioneaz asupra lor, acestea trebuie ascunse.
6. Fiierele de acces
Fiierele de acces trebuie s fac posibil identificarea de ctre operator sau de ctre
persoana mputernicit a persoanelor care au accesat date cu caracter personal fr un motiv
anume, n vederea aplicrii unor sanciuni sau a sesizrii organelor competente. 7. Sistemele de
telecomunicaii.Prin sistemele de telecomunicaii se vor transmite numai datele cu caracter
personal strict necesare.
8. Instruirea personalului
Utilizatorii care au acces la date cu caracter personal vor fi instruii de ctre operator asupra
confidenialitii acestora i vor fi avertizai prin mesaje care vor aprea pe monitoare n timpul
activitii. Utilizatorii sunt obligai s i nchid sesiunea de lucru atunci cnd prsesc locul de
munc.
9. Folosirea computerelor
Pentru meninerea securitii prelucrrii datelor cu caracter personal se vor va lua
urmtoarele msuri :
interzicerea folosirii de ctre utilizatori a programelor software care provin din surse externe
sau dubioase;
informarea utilizatorilor n privina pericolului privind viruii informatici;
implementarea unor sisteme automate de devirusare i de securitate a sistemelor informatice;
dezactivarea, pe ct posibil, a tastei "Print screen", atunci cnd sunt afiate pe monitor date cu
caracter personal, interzicndu-se astfel scoaterea la imprimant a acestora.
10. Imprimarea datelor
Scoaterea la imprimant a datelor cu caracter personal se va realiza numai de utilizatori
autorizai pentru aceast operaiune de ctre operator.
Conform art. 3 lit. b) din Legea 677/2001 pentru protectia persoanelor cu privire la
prelucrarea datelor cu caracter personal si libera circulatie a acestor date, modificata si
completata, prelucrarea datelor cu caracter personal reprezinta orice operatiune sau set de
operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau
neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea,
extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice
alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea .
Astfel cum prevede aceasta dispozitie legala pentru a ne afla intr-o situatie de prelucrare
de date cu caracter personal, nu este necesara indeplinirea tuturor operatiunilor ci este suficienta
indeplinirea oricarei operatiuni sau unui set de operatiuni dintre cele enumerate.
In consecinta, prelucrarea datelor cu caracter personal nu presupune obligatoriu divulgarea
acestora unor terti. Persoana care realizeaza oricare dintre operatiunile sau set de operatiuni
indicate de textul de lege prelucreaza date cu caracter personal.
Prin urmare, prelucrati date cu caracter personal, chiar daca nu divulgati aceste date unor
terte personae,dar indepliniti oricare dintre operatiunile enumerate la art. 3 lit. b), operatiuni, in
care, apreciem ca se incadreaza si intocmirea situatiilor cu date persoanele ale salariatilor ale
caror buletine/carti de identitate sunt expirate.
Asadar, Legea 677/2001 defineste la art. 3 lit. b) prelucrarea datelor cu caracter personal
aratand ca prin aceasta se intelege orice operatiune sau set de operatiuni care se efectueaza
asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea,
inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea,
dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori
combinarea, blocarea, stergerea sau distrugerea.
Or, conform acestei definitii, pentru a ne afla intr-o situatie de prelucrare de date cu
caracter personal, nu este necesara indeplinirea tuturor operatiunilor enumerate ci este suficienta
indeplinirea oricarei operatiuni sau unui set de operatiuni dintre cele enumerate.
De aceea am considerat ca suntem in prezenta unei operatiuni de prelucrare de date cu
caracter personal ori de cate ori se indeplineste oricare dintre operatiuni sau unui set de
operatiuni indicate la art. 3 lit. b) chiar daca datele personale nu sunt divulgate unor terte
persoane dar este indeplinita oricare dintre operatiunile enumerate la art. 3 lit. b).
Atunci cand legea este ambigua este bine sa o interpretam in sensul in care sa nu ne expunem
riscului unei rapunderi patrimoniale, contraventionale, etc.
Conform art. 1 lit. b) din Decizia 90/2006 privind cazurile in care nu este necesara notificarea
prelucrarii unor date cu caracter personal, notificarea prelucrarii datelor cu caracter personal nu
este necesara cand prelucrarea datelor cu caracter personal referitoare la propriii angajati si la
colaboratorii externi este efectuata de entitatile de drept public si de drept privat, in vederea
indeplinirii unor obligatii legale.
Prin urmare, angajatorul nu are obligatia sa notifice prelucrarea datelor cu caracter personal
referitoare la proprii angajati atunci cand prelucrarea se realizeaza in vederea indeplinirii unor
obligatii legale, dar are obligatia sa respecte drepturile persoanei vizate in contextul prelucrarii
datelor cu caracter personal astfel cum stabilite de Legea 677/2001.






Bibliografie:
1. Legea 677/2001
2. Fl. A. Baias et al. (2012). Noul Cod Civil. Comentarii pe articole. Ed. CH Beck
3. Liviu Pop, Ionu Florin Popa, Stelian Ioan Vidu, Tratat elementar de drept
civil.Obligaiile conform noului Cod Civil, Ed.Universul Juridic, Bucureti 2012, p. 412-
423