LEGE nr.

677 din 21 noiembrie 2001 pentru protecia persoanelor cu

privire la prelucrarea datelor cu caracter personal i libera circulaie a
acestor date
(la data 12-Feb-2010 a se vedea referinte de aplicare din Instructiunile
27/2010 )
(la data 01-Mar-2009 a se vedea referinte de aplicare din Decizia 95/2008 )
(la data 25-Feb-2008 a se vedea referinte de aplicare din Decizia 105/2007 )
(la data 16-Mar-2007 a se vedea referinte de aplicare din Decizia 28/2007 )
(la data 28-Aug-2006 a se vedea referinte de aplicare din Decizia 89/2006 )
(la data 28-Jul-2006 a se vedea referinte de aplicare din Decizia 91/2006 )
(la data 28-Jul-2006 a se vedea referinte de aplicare din Decizia 90/2006 )
(la data 22-Jun-2006 a se vedea referinte de aplicare din Decizia 60/2006 )
(la data 09-May-2005 actul a fost promulgata de Decretul 344/2005 )
Parlamentul Romniei adopt prezenta lege.
CAPITOLUL I: Dispoziii generale
Art. 1: Scop
(1)Prezenta lege are ca scop garantarea i protejarea drepturilor i libertilor
fundamentale ale persoanelor fizice, n special a dreptului la viaa intim, familial
i privat, cu privire la prelucrarea datelor cu caracter personal.
(2)Exercitarea drepturilor prevzute n prezenta lege nu poate fi restrns dect n
cazuri expres i limitativ prevzute de lege.
Art. 2: Domeniu de aplicare
(1)Prezenta lege se aplic prelucrrilor de date cu caracter personal, efectuate, n
tot sau n parte, prin mijloace automate, precum i prelucrrii prin alte mijloace
dect cele automate a datelor cu caracter personal care fac parte dintr-un sistem
de eviden sau care sunt destinate s fie incluse ntr-un asemenea sistem.
(2)Prezenta lege se aplic:
a)prelucrrilor de date cu caracter personal, efectuate n cadrul activitilor
desfurate de operatori stabilii n Romnia;
b)prelucrrilor de date cu caracter personal, efectuate n cadrul activitilor
desfurate de misiunile diplomatice sau de oficiile consulare ale Romniei;
c)prelucrrilor de date cu caracter personal, efectuate n cadrul activitilor
desfurate de operatori care nu sunt stabilii n Romnia, prin utilizarea de
mijloace de orice natur situate pe teritoriul Romniei, cu excepia cazului n care
aceste mijloace nu sunt utilizate dect n scopul tranzitrii pe teritoriul Romniei a
datelor cu caracter personal care fac obiectul prelucrrilor respective.
(3)n cazul prevzut la alin. (2) lit. c) operatorul i va desemna un reprezentant
care trebuie s fie o persoan stabilit n Romnia. Prevederile prezentei legi
aplicabile operatorului sunt aplicabile i reprezentantului acestuia, fr a aduce
atingere posibilitii de a introduce aciune n justiie direct mpotriva operatorului.
(4)Prezenta lege se aplic prelucrrilor de date cu caracter personal efectuate de
persoane fizice sau juridice, romne ori strine, de drept public sau de drept privat,
indiferent dac au loc n sectorul public sau n sectorul privat.
(5)n limitele prevzute de prezenta lege, aceasta se aplic i prelucrrilor i
transferului de date cu caracter personal, efectuate n cadrul activitilor de
prevenire, cercetare i reprimare a infraciunilor i de meninere a ordinii publice,

precum i al altor activiti desfurate n domeniul dreptului penal, n limitele i cu

restriciile stabilite de lege.
(6)Prezenta lege nu se aplic prelucrrilor de date cu caracter personal, efectuate
de persoane fizice exclusiv pentru uzul lor personal, dac datele n cauz nu sunt
destinate a fi dezvluite.
(7)Prezenta lege nu se aplic prelucrrilor i transferului de date cu caracter
personal, efectuate n cadrul activitilor n domeniul aprrii naionale i
siguranei naionale, desfurate n limitele i cu restriciile stabilite de lege.
(8)Prevederile prezentei legi nu aduc atingere obligaiilor asumate de Romnia
prin instrumente juridice ratificate.
Art. 3: Definiii
(la data 05-Nov-2009 Art. 3 din capitolul I a se vedea jurisprudenta Decizia nr.
2789 din 05-nov-2009 )
n nelesul prezentei legi, urmtorii termeni se definesc dup cum urmeaz:
a)date cu caracter personal - orice informaii referitoare la o persoan fizic
identificat sau identificabil; o persoan identificabil este acea persoan care
poate fi identificat, direct sau indirect, n mod particular prin referire la un numr
de identificare ori la unul sau la mai muli factori specifici identitii sale fizice,
fiziologice, psihice, economice, culturale sau sociale;
b)prelucrarea datelor cu caracter personal - orice operaiune sau set de operaiuni
care se efectueaz asupra datelor cu caracter personal, prin mijloace automate
sau neautomate, cum ar fi colectarea, nregistrarea, organizarea, stocarea,
adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvluirea ctre
teri prin transmitere, diseminare sau n orice alt mod, alturarea ori combinarea,
blocarea, tergerea sau distrugerea;
c)stocarea - pstrarea pe orice fel de suport a datelor cu caracter personal culese;
d)sistem de eviden a datelor cu caracter personal - orice structur organizat de
date cu caracter personal, accesibil potrivit unor criterii determinate, indiferent
dac aceast structur este organizat n mod centralizat ori descentralizat sau
este repartizat dup criterii funcionale ori geografice;
e)operator - orice persoan fizic sau juridic, de drept privat ori de drept public,
inclusiv autoritile publice, instituiile i structurile teritoriale ale acestora, care
stabilete scopul i mijloacele de prelucrare a datelor cu caracter personal;
dac scopul i mijloacele de prelucrare a datelor cu caracter personal sunt
determinate printr-un act normativ sau n baza unui act normativ, operator este
persoana fizic sau juridic, de drept public ori de drept privat, care este
desemnat ca operator prin acel act normativ sau n baza acelui act normativ;
f)persoan mputernicit de ctre operator - o persoan fizic sau juridic, de
drept privat ori de drept public, inclusiv autoritile publice, instituiile i structurile
teritoriale ale acestora, care prelucreaz date cu caracter personal pe seama
operatorului;
g)ter - orice persoan fizic sau juridic, de drept privat ori de drept public,
inclusiv autoritile publice, instituiile i structurile teritoriale ale acestora, alta
dect persoana vizat, operatorul ori persoana mputernicit sau persoanele care,
sub autoritatea direct a operatorului sau a persoanei mputernicite, sunt
autorizate s prelucreze date;

h)destinatar - orice persoan fizic sau juridic, de drept privat ori de drept public,
inclusiv autoritile publice, instituiile i structurile teritoriale ale acestora, creia i
sunt dezvluite date, indiferent dac este sau nu ter; autoritile publice crora li
se comunic date n cadrul unei competene speciale de anchet nu vor fi
considerate destinatari;
i)date anonime - date care, datorit originii sau modalitii specifice de prelucrare,
nu pot fi asociate cu o persoan identificat sau identificabil.
CAPITOLUL II: Reguli generale privind prelucrarea datelor cu caracter
personal
Art. 4: Caracteristicile datelor cu caracter personal n cadrul prelucrrii
(1)Datele cu caracter personal destinate a face obiectul prelucrrii trebuie s fie:
a)prelucrate cu bun-credin i n conformitate cu dispoziiile legale n vigoare;
b)colectate n scopuri determinate, explicite i legitime; prelucrarea ulterioar a
datelor cu caracter personal n scopuri statistice, de cercetare istoric sau
tiinific nu va fi considerat incompatibil cu scopul colectrii dac se efectueaz
cu respectarea dispoziiilor prezentei legi, inclusiv a celor care privesc efectuarea
notificrii ctre autoritatea de supraveghere, precum i cu respectarea garaniilor
privind prelucrarea datelor cu caracter personal, prevzute de normele care
reglementeaz activitatea statistic ori cercetarea istoric sau tiinific;
c)adecvate, pertinente i neexcesive prin raportare la scopul n care sunt colectate
i ulterior prelucrate;
d)exacte i, dac este cazul, actualizate; n acest scop se vor lua msurile
necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului
pentru care sunt colectate i pentru care vor fi ulterior prelucrate, s fie terse sau
rectificate;
e)stocate ntr-o form care s permit identificarea persoanelor vizate strict pe
durata necesar realizrii scopurilor n care datele sunt colectate i n care vor fi
ulterior prelucrate; stocarea datelor pe o durat mai mare dect cea menionat, n
scopuri statistice, de cercetare istoric sau tiinific, se va face cu respectarea
garaniilor privind prelucrarea datelor cu caracter personal, prevzute n normele
care reglementeaz aceste domenii, i numai pentru perioada necesar realizrii
acestor scopuri.
(2)Operatorii au obligaia s respecte prevederile alin. (1) i s asigure ndeplinirea
acestor prevederi de ctre persoanele mputernicite.
Art. 5: Condiii de legitimitate privind prelucrarea datelor
(la data 25-Nov-2009 Art. 5 din capitolul II a se vedea jurisprudenta Decizia nr.
3050 din 25-nov-2009 )
(1)Orice prelucrare de date cu caracter personal, cu excepia prelucrrilor care
vizeaz date din categoriile menionate la art. 7 alin. (1), art. 8 i 10, poate fi
efectuat numai dac persoana vizat i-a dat consimmntul n mod expres i
neechivoc pentru acea prelucrare.
(2)Consimmntul persoanei vizate nu este cerut n urmtoarele cazuri:
a)cnd prelucrarea este necesar n vederea executrii unui contract sau
antecontract la care persoana vizat este parte ori n vederea lurii unor msuri, la
cererea acesteia, naintea ncheierii unui contract sau antecontract;

b)cnd prelucrarea este necesar n vederea protejrii vieii, integritii fizice sau
sntii persoanei vizate ori a unei alte persoane ameninate;
c)cnd prelucrarea este necesar n vederea ndeplinirii unei obligaii legale a
operatorului;
d)cnd prelucrarea este necesar n vederea aducerii la ndeplinire a unor msuri
de interes public sau care vizeaz exercitarea prerogativelor de autoritate public
cu care este nvestit operatorul sau terul cruia i sunt dezvluite datele;
e)cnd prelucrarea este necesar n vederea realizrii unui interes legitim al
operatorului sau al terului cruia i sunt dezvluite datele, cu condiia ca acest
interes s nu prejudicieze interesul sau drepturile i libertile fundamentale ale
persoanei vizate;
f)cnd prelucrarea privete date obinute din documente accesibile publicului,
conform legii;
g)cnd prelucrarea este fcut exclusiv n scopuri statistice, de cercetare istoric
sau tiinific, iar datele rmn anonime pe toat durata prelucrrii.
(3)Prevederile alin. (2) nu aduc atingere dispoziiilor legale care reglementeaz
obligaia autoritilor publice de a respecta i de a ocroti viaa intim, familial i
privat.
Art. 6: ncheierea operaiunilor de prelucrare
(1)La ncheierea operaiunilor de prelucrare, dac persoana vizat nu i-a dat n
mod expres i neechivoc consimmntul pentru o alt destinaie sau pentru o
prelucrare ulterioar, datele cu caracter personal vor fi:
a)distruse;
b)transferate unui alt operator, cu condiia ca operatorul iniial s garanteze faptul
c prelucrrile ulterioare au scopuri similare celor n care s-a fcut prelucrarea
iniial;
c)transformate n date anonime i stocate exclusiv n scopuri statistice, de
cercetare istoric sau tiinific.
(2)n cazul operaiunilor de prelucrare efectuate n condiiile prevzute la art. 5
alin. (2) lit. c) sau d), n cadrul activitilor descrise la art. 2 alin. (5), operatorul
poate stoca datele cu caracter personal pe perioada necesar realizrii scopurilor
concrete urmrite, cu condiia asigurrii unor msuri corespunztoare de protejare
a acestora, dup care va proceda la distrugerea lor dac nu sunt aplicabile
prevederile legale privind pstrarea arhivelor.
CAPITOLUL III: Reguli speciale privind prelucrarea datelor cu caracter
personal
Art. 7: Prelucrarea unor categorii speciale de date
(1)Prelucrarea datelor cu caracter personal legate de originea rasial sau etnic,
de convingerile politice, religioase, filozofice sau de natur similar, de
apartenena sindical, precum i a datelor cu caracter personal privind starea de
sntate sau viaa sexual este interzis.
(la data 25-Nov-2009 Art. 7, alin. (1) din capitolul III a se vedea jurisprudenta
Decizia nr. 3050 din 25-nov-2009 )
(2)Prevederile alin. (1) nu se aplic n urmtoarele cazuri:
a)cnd persoana vizat i-a dat n mod expres consimmntul pentru o astfel de
prelucrare;

b)cnd prelucrarea este necesar n scopul respectrii obligaiilor sau drepturilor

specifice ale operatorului n domeniul dreptului muncii, cu respectarea garaniilor
prevzute de lege; o eventual dezvluire ctre un ter a datelor prelucrate poate
fi efectuat numai dac exist o obligaie legal a operatorului n acest sens sau
dac persoana vizat a consimit expres la aceast dezvluire;
c)cnd prelucrarea este necesar pentru protecia vieii, integritii fizice sau a
sntii persoanei vizate ori a altei persoane, n cazul n care persoana vizat se
afl n incapacitate fizic sau juridic de a-i da consimmntul;
d)cnd prelucrarea este efectuat n cadrul activitilor sale legitime de ctre o
fundaie, asociaie sau de ctre orice alt organizaie cu scop nelucrativ i cu
specific politic, filozofic, religios ori sindical, cu condiia ca persoana vizat s fie
membr a acestei organizaii sau s ntrein cu aceasta, n mod regulat, relaii
care privesc specificul activitii organizaiei i ca datele s nu fie dezvluite unor
teri fr consimmntul persoanei vizate;
e)cnd prelucrarea se refer la date fcute publice n mod manifest de ctre
persoana vizat;
f)cnd prelucrarea este necesar pentru constatarea, exercitarea sau aprarea
unui drept n justiie;
g)cnd prelucrarea este necesar n scopuri de medicin preventiv, de stabilire a
diagnosticelor medicale, de administrare a unor ngrijiri sau tratamente medicale
pentru persoana vizat ori de gestionare a serviciilor de sntate care acioneaz
n interesul persoanei vizate, cu condiia ca prelucrarea datelor respective s fie
efectuate de ctre ori sub supravegherea unui cadru medical supus secretului
profesional sau de ctre ori sub supravegherea unei alte persoane supuse unei
obligaii echivalente n ceea ce privete secretul;
h)cnd legea prevede n mod expres aceasta n scopul protejrii unui interes public
important, cu condiia ca prelucrarea s se efectueze cu respectarea drepturilor
persoanei vizate i a celorlalte garanii prevzute de prezenta lege.
(3)Prevederile alin. (2) nu aduc atingere dispoziiilor legale care reglementeaz
obligaia autoritilor publice de a respecta i de a ocroti viaa intim, familial i
privat.
(4)Autoritatea de supraveghere poate dispune, din motive ntemeiate, interzicerea
efecturii unei prelucrri de date din categoriile prevzute la alin. (1), chiar dac
persoana vizat i-a dat n scris i n mod neechivoc consimmntul, iar acest
consimmnt nu a fost retras, cu condiia ca interdicia prevzut la alin. (1) s nu
fie nlturat prin unul dintre cazurile la care se refer alin. (2) lit. b)-g).
Art. 8: Prelucrarea datelor cu caracter personal avnd funcie de
identificare
(la data 25-Nov-2009 Art. 8 din capitolul III a se vedea jurisprudenta Decizia nr.
3050 din 25-nov-2009 )
(1)Prelucrarea codului numeric personal sau a altor date cu caracter personal
avnd o funcie de identificare de aplicabilitate general poate fi efectuat numai
dac:
a)persoana vizat i-a dat n mod expres consimmntul; sau
b)prelucrarea este prevzut n mod expres de o dispoziie legal.

(2)Autoritatea de supraveghere poate stabili i alte cazuri n care se poate efectua

prelucrarea datelor prevzute la alin. (1), numai cu condiia instituirii unor garanii
adecvate pentru respectarea drepturilor persoanelor vizate.
Art. 9: Prelucrarea datelor cu caracter personal privind starea de
sntate
(1)n afara cazurilor prevzute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se
aplic n privina prelucrrii datelor privind starea de sntate n urmtoarele
cazuri:
a)dac prelucrarea este necesar pentru protecia sntii publice;
b)dac prelucrarea este necesar pentru prevenirea unui pericol iminent, pentru
prevenirea svririi unei fapte penale sau pentru mpiedicarea producerii
rezultatului unei asemenea fapte ori pentru nlturarea urmrilor prejudiciabile ale
unei asemenea fapte.
(2)Prelucrarea datelor privind starea de sntate poate fi efectuat numai de ctre
ori sub supravegherea unui cadru medical, cu condiia respectrii secretului
profesional, cu excepia situaiei n care persoana vizat i-a dat n scris i n mod
neechivoc consimmntul atta timp ct acest consimmnt nu a fost retras,
precum i cu excepia situaiei n care prelucrarea este necesar pentru prevenirea
unui pericol iminent, pentru prevenirea svririi unei fapte penale, pentru
mpiedicarea producerii rezultatului unei asemenea fapte sau pentru nlturarea
urmrilor sale prejudiciabile.
(3)Cadrele medicale, instituiile de sntate i personalul medical al acestora pot
prelucra date cu caracter personal referitoare la starea de sntate, fr
autorizaia autoritii de supraveghere, numai dac prelucrarea este necesar
pentru protejarea vieii, integritii fizice sau sntii persoanei vizate. Cnd
scopurile menionate se refer la alte persoane sau la public n general i persoana
vizat nu i-a dat consimmntul n scris i n mod neechivoc, trebuie cerut i
obinut n prealabil autorizaia autoritii de supraveghere. Prelucrarea datelor cu
caracter personal n afara limitelor prevzute n autorizaie este interzis.
(4)Cu excepia motivelor de urgen, autorizaia prevzut la alin. (3) poate fi
acordat numai dup ce a fost consultat Colegiul Medicilor din Romnia.
(5)Datele cu caracter personal privind starea de sntate pot fi colectate numai de
la persoana vizat. Prin excepie, aceste date pot fi colectate din alte surse numai
n msura n care este necesar pentru a nu compromite scopurile prelucrrii, iar
persoana vizat nu vrea ori nu le poate furniza.
Art. 10: Prelucrarea datelor cu caracter personal referitoare la fapte
penale sau contravenii
(la data 25-Nov-2009 Art. 10 din capitolul III a se vedea jurisprudenta Decizia nr.
3050 din 25-nov-2009 )
(1)Prelucrarea datelor cu caracter personal referitoare la svrirea de infraciuni
de ctre persoana vizat ori la condamnri penale, msuri de siguran sau
sanciuni administrative ori contravenionale, aplicate persoanei vizate, poate fi
efectuat numai de ctre sau sub controlul autoritilor publice, n limitele puterilor
ce le sunt conferite prin lege i n condiiile stabilite de legile speciale care
reglementeaz aceste materii.

(2)Autoritatea de supraveghere poate stabili i alte cazuri n care se poate efectua

prelucrarea datelor prevzute la alin. (1), numai cu condiia instituirii unor garanii
adecvate pentru respectarea drepturilor persoanelor vizate.
(3)Un registru complet al condamnrilor penale poate fi inut numai sub controlul
unei autoriti publice, n limitele puterilor ce i sunt conferite prin lege.
Art. 11: Excepii
Prevederile art. 5, 6, 7 i 10 nu se aplic n situaia n care prelucrarea datelor se
face exclusiv n scopuri jurnalistice, literare sau artistice, dac prelucrarea privete
date cu caracter personal care au fost fcute publice n mod manifest de ctre
persoana vizat sau care sunt strns legate de calitatea de persoan public a
persoanei vizate ori de caracterul public al faptelor n care este implicat.

CAPITOLUL IV: Drepturile persoanei vizate n contextul prelucrrii datelor

cu caracter personal
Art. 12: Informarea persoanei vizate
(1)n cazul n care datele cu caracter personal sunt obinute direct de la persoana
vizat, operatorul este obligat s furnizeze persoanei vizate cel puin urmtoarele
informaii, cu excepia cazului n care aceast persoan posed deja informaiile
respective:
a)identitatea operatorului i a reprezentantului acestuia, dac este cazul;
b)scopul n care se face prelucrarea datelor;
c)informaii suplimentare, precum: destinatarii sau categoriile de destinatari ai
datelor; dac furnizarea tuturor datelor cerute este obligatorie i consecinele
refuzului de a le furniza; existena drepturilor prevzute de prezenta lege pentru
persoana vizat, n special a dreptului de acces, de intervenie asupra datelor i de
opoziie, precum i condiiile n care pot fi exercitate;
d)orice alte informaii a cror furnizare este impus prin dispoziie a autoritii de
supraveghere, innd seama de specificul prelucrrii.
(2)n cazul n care datele nu sunt obinute direct de la persoana vizat, operatorul
este obligat ca, n momentul colectrii datelor sau, dac se intenioneaz
dezvluirea acestora ctre teri, cel mai trziu pn n momentul primei dezvluiri,
s furnizeze persoanei vizate cel puin urmtoarele informaii, cu excepia cazului
n care persoana vizat posed deja informaiile respective:
a)identitatea operatorului i a reprezentantului acestuia, dac este cazul;
b)scopul n care se face prelucrarea datelor;
c)informaii suplimentare, precum: categoriile de date vizate, destinatarii sau
categoriile de destinatari ai datelor, existena drepturilor prevzute de prezenta
lege pentru persoana vizat, n special a dreptului de acces, de intervenie asupra
datelor i de opoziie, precum i condiiile n care pot fi exercitate;
d)orice alte informaii a cror furnizare este impus prin dispoziie a autoritii de
supraveghere, innd seama de specificul prelucrrii.

(3)Prevederile alin. (2) nu se aplic atunci cnd prelucrarea datelor se efectueaz

exclusiv n scopuri jurnalistice, literare sau artistice, dac aplicarea acestora ar da
indicii asupra surselor de informare.
(4)Prevederile alin. (2) nu se aplic n cazul n care prelucrarea datelor se face n
scopuri statistice, de cercetare istoric sau tiinific, ori n orice alte situaii n care
furnizarea unor asemenea informaii se dovedete imposibil sau ar implica un
efort disproporionat fa de interesul legitim care ar putea fi lezat, precum i n
situaiile n care nregistrarea sau dezvluirea datelor este expres prevzut de
lege.
Art. 13: Dreptul de acces la date
(1)Orice persoan vizat are dreptul de a obine de la operator, la cerere i n mod
gratuit pentru o solicitare pe an, confirmarea faptului c datele care o privesc sunt
sau nu sunt prelucrate de acesta. Operatorul este obligat, n situaia n care
prelucreaz date cu caracter personal care privesc solicitantul, s comunice
acestuia, mpreun cu confirmarea, cel puin urmtoarele:
a)informaii referitoare la scopurile prelucrrii, categoriile de date avute n vedere
i destinatarii sau categoriile de destinatari crora le sunt dezvluite datele;
b)comunicarea ntr-o form inteligibil a datelor care fac obiectul prelucrrii,
precum i a oricrei informaii disponibile cu privire la originea datelor;
c)informaii asupra principiilor de funcionare a mecanismului prin care se
efectueaz orice prelucrare automat a datelor care vizeaz persoana respectiv;
d)informaii privind existena dreptului de intervenie asupra datelor i a dreptului
de opoziie, precum i condiiile n care pot fi exercitate;
e)informaii asupra posibilitii de a consulta registrul de eviden a prelucrrilor
de date cu caracter personal, prevzut la art. 24, de a nainta plngere ctre
autoritatea de supraveghere, precum i de a se adresa instanei pentru atacarea
deciziilor operatorului, n conformitate cu dispoziiile prezentei legi.
(2)Persoana vizat poate solicita de la operator informaiile prevzute la alin. (1),
printr-o cerere ntocmit n form scris, datat i semnat. n cerere solicitantul
poate arta dac dorete ca informaiile s i fie comunicate la o anumit adres,
care poate fi i de pot electronic, sau printr-un serviciu de coresponden care
s asigure c predarea i se va face numai personal.
(3)Operatorul este obligat s comunice informaiile solicitate, n termen de 15 zile
de la data primirii cererii, cu respectarea eventualei opiuni a solicitantului
exprimate potrivit alin. (2).
(4)n cazul datelor cu caracter personal legate de starea de sntate, cererea
prevzut la alin. (2) poate fi introdus de persoana vizat fie direct, fie prin
intermediul unui cadru medical care va indica n cerere persoana n numele creia
este introdus. La cererea operatorului sau a persoanei vizate comunicarea
prevzut la alin. (3) poate fi fcut prin intermediul unui cadru medical desemnat
de persoana vizat.
(5)n cazul n care datele cu caracter personal legate de starea de sntate sunt
prelucrate n scop de cercetare tiinific, dac nu exist, cel puin aparent, riscul
de a se aduce atingere drepturilor persoanei vizate i dac datele nu sunt utilizate
pentru a lua decizii sau msuri fa de o anumit persoan, comunicarea
prevzut la alin. (3) se poate face i ntr-un termen mai mare dect cel prevzut
la acel alineat, n msura n care aceasta ar putea afecta bunul mers sau

rezultatele cercetrii, i nu mai trziu de momentul n care cercetarea este

ncheiat. n acest caz persoana vizat trebuie s i fi dat n mod expres i
neechivoc consimmntul ca datele s fie prelucrate n scop de cercetare
tiinific, precum i asupra posibilei amnri a comunicrii prevzute la alin. (3)
din acest motiv.
(6)Prevederile alin. (2) nu se aplic atunci cnd prelucrarea datelor se efectueaz
exclusiv n scopuri jurnalistice, literare sau artistice, dac aplicarea acestora ar da
indicii asupra surselor de informare.
Art. 14: Dreptul de intervenie asupra datelor
(1)Orice persoan vizat are dreptul de a obine de la operator, la cerere i n mod
gratuit:
a)dup caz, rectificarea, actualizarea, blocarea sau tergerea datelor a cror
prelucrare nu este conform prezentei legi, n special a datelor incomplete sau
inexacte;
b)dup caz, transformarea n date anonime a datelor a cror prelucrare nu este
conform prezentei legi;
c)notificarea ctre terii crora le-au fost dezvluite datele a oricrei operaiuni
efectuate conform lit. a) sau b), dac aceast notificare nu se dovedete imposibil
sau nu presupune un efort disproporionat fa de interesul legitim care ar putea fi
lezat.
(2)Pentru exercitarea dreptului prevzut la alin. (1) persoana vizat va nainta
operatorului o cerere ntocmit n form scris, datat i semnat. n cerere
solicitantul poate arta dac dorete ca informaiile s i fie comunicate la o
anumit adres, care poate fi i de pot electronic, sau printr-un serviciu de
coresponden care s asigure c predarea i se va face numai personal.
(3)Operatorul este obligat s comunice msurile luate n temeiul alin. (1), precum
i, dac este cazul, numele terului cruia i-au fost dezvluite datele cu caracter
personal referitoare la persoana vizat, n termen de 15 zile de la data primirii
cererii, cu respectarea eventualei opiuni a solicitantului exprimate potrivit alin.
(2).
Art. 15: Dreptul de opoziie
(1)Persoana vizat are dreptul de a se opune n orice moment, din motive
ntemeiate i legitime legate de situaia sa particular, ca date care o vizeaz s
fac obiectul unei prelucrri, cu excepia cazurilor n care exist dispoziii legale
contrare. n caz de opoziie justificat prelucrarea nu mai poate viza datele n
cauz.
(2)Persoana vizat are dreptul de a se opune n orice moment, n mod gratuit i
fr nici o justificare, ca datele care o vizeaz s fie prelucrate n scop de
marketing direct, n numele operatorului sau al unui ter, sau s fie dezvluite unor
teri ntr-un asemenea scop.
(3)n vederea exercitrii drepturilor prevzute la alin. (1) i (2) persoana vizat va
nainta operatorului o cerere ntocmit n form scris, datat i semnat. n cerere
solicitantul poate arta dac dorete ca informaiile s i fie comunicate la o
anumit adres, care poate fi i de pot electronic, sau printr-un serviciu de
coresponden care s asigure c predarea i se va face numai personal.

(4)Operatorul este obligat s comunice persoanei vizate msurile luate n temeiul

alin. (1) sau (2), precum i, dac este cazul, numele terului cruia i-au fost
dezvluite datele cu caracter personal referitoare la persoana vizat, n termen de
15 zile de la data primirii cererii, cu respectarea eventualei opiuni a solicitantului
exprimate potrivit alin. (3).
Art. 16: Excepii
(1)Prevederile art. 12, 13, ale art. 14 alin. (3) i ale art. 15 nu se aplic n cazul
activitilor prevzute la art. 2 alin. (5), dac prin aplicarea acestora este
prejudiciat eficiena aciunii sau obiectivul urmrit n ndeplinirea atribuiilor
legale ale autoritii publice.
(2)Prevederile alin. (1) sunt aplicabile strict pentru perioada necesar atingerii
obiectivului urmrit prin desfurarea activitilor menionate la art. 2 alin. (5).
(3)Dup ncetarea situaiei care justific aplicarea alin. (1) i (2) operatorii care
desfoar activitile prevzute la art. 2 alin. (5) vor lua msurile necesare
pentru a asigura respectarea drepturilor persoanelor vizate.
(4)Autoritile publice in evidena unor astfel de cazuri i informeaz periodic
autoritatea de supraveghere despre modul de soluionare a lor.
Art. 17: Dreptul de a nu fi supus unei decizii individuale
(1)Orice persoan are dreptul de a cere i de a obine:
a)retragerea sau anularea oricrei decizii care produce efecte juridice n privina
sa, adoptat exclusiv pe baza unei prelucrri de date cu caracter personal,
efectuat prin mijloace automate, destinat s evalueze unele aspecte ale
personalitii
sale,
precum
competena
profesional,
credibilitatea,
comportamentul su ori alte asemenea aspecte;
b)reevaluarea oricrei alte decizii luate n privina sa, care o afecteaz n mod
semnificativ, dac decizia a fost adoptat exclusiv pe baza unei prelucrri de date
care ntrunete condiiile prevzute la lit. a).
(2)Respectndu-se celelalte garanii prevzute de prezenta lege, o persoan
poate fi supus unei decizii de natura celei vizate la alin. (1), numai n urmtoarele
situaii:
a)decizia este luat n cadrul ncheierii sau executrii unui contract, cu condiia ca
cererea de ncheiere sau de executare a contractului, introdus de persoana vizat,
s fi fost satisfcut sau ca unele msuri adecvate, precum posibilitatea de a-i
susine punctul de vedere, s garanteze aprarea propriului interes legitim;
b)decizia este autorizat de o lege care precizeaz msurile ce garanteaz
aprarea interesului legitim al persoanei vizate.
Art. 18: Dreptul de a se adresa justiiei
(1)Fr a se aduce atingere posibilitii de a se adresa cu plngere autoritii de
supraveghere, persoanele vizate au dreptul de a se adresa justiiei pentru aprarea
oricror drepturi garantate de prezenta lege, care le-au fost nclcate.
(2)Orice persoan care a suferit un prejudiciu n urma unei prelucrri de date cu
caracter personal, efectuat ilegal, se poate adresa instanei competente pentru
repararea acestuia.
(3)Instana competent este cea n a crei raz teritorial domiciliaz reclamantul.
Cererea de chemare n judecat este scutit de tax de timbru.

CAPITOLUL V: Confidenialitatea i securitatea prelucrrilor

Art. 19: Confidenialitatea prelucrrilor
Orice persoan care acioneaz sub autoritatea operatorului sau a persoanei
mputernicite, inclusiv persoana mputernicit, care are acces la date cu caracter
personal, nu poate s le prelucreze dect pe baza instruciunilor operatorului, cu
excepia cazului n care acioneaz n temeiul unei obligaii legale.
Art. 20: Securitatea prelucrrilor
(1)Operatorul este obligat s aplice msurile tehnice i organizatorice adecvate
pentru protejarea datelor cu caracter personal mpotriva distrugerii accidentale sau
ilegale, pierderii, modificrii, dezvluirii sau accesului neautorizat, n special dac
prelucrarea respectiv comport transmisii de date n cadrul unei reele, precum i
mpotriva oricrei alte forme de prelucrare ilegal.
(2)Aceste msuri trebuie s asigure, potrivit stadiului tehnicii utilizate n procesul
de prelucrare i de costuri, un nivel de securitate adecvat n ceea ce privete
riscurile pe care le reprezint prelucrarea, precum i n ceea ce privete natura
datelor care trebuie protejate. Cerinele minime de securitate vor fi elaborate de
autoritatea de supraveghere i vor fi actualizate periodic, corespunztor
progresului tehnic i experienei acumulate.
(3)Operatorul, atunci cnd desemneaz o persoan mputernicit, este obligat s
aleag o persoan care prezint suficiente garanii n ceea ce privete msurile de
securitate tehnic i organizatorice cu privire la prelucrrile ce vor fi efectuate,
precum i s vegheze la respectarea acestor msuri de ctre persoana desemnat.
(4)Autoritatea de supraveghere poate decide, n cazuri individuale, asupra obligrii
operatorului la adoptarea unor msuri suplimentare de securitate, cu excepia
celor care privesc garantarea securitii serviciilor de telecomunicaii.
(5)Efectuarea prelucrrilor prin persoane mputernicite trebuie s se desfoare n
baza unui contract ncheiat n form scris, care va cuprinde n mod obligatoriu:
a)obligaia persoanei mputernicite de a aciona doar n baza instruciunilor primite
de la operator;
b)faptul c ndeplinirea obligaiilor prevzute la alin. (1) revine i persoanei
mputernicite.
CAPITOLUL VI: Supravegherea i controlul prelucrrilor de date cu
caracter personal
Art. 21: Autoritatea de supraveghere
(1)Autoritatea de supraveghere, n sensul prezentei legi, este Autoritatea
Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal.
(la data 12-May-2005 Art. 21, alin. (1) din capitolul VI modificat de Art. 22,
punctul 1. din capitolul V din Legea 102/2005 )
(2)Autoritatea de supraveghere i desfoar activitatea n condiii de complet
independen i imparialitate.
(3)Autoritatea de supraveghere monitorizeaz i controleaz sub aspectul
legalitii prelucrrile de date cu caracter personal care cad sub incidena
prezentei legi.
n acest scop autoritatea de supraveghere exercit urmtoarele atribuii:

a)elaboreaz formularele tipizate ale notificrilor i ale registrelor proprii;

b)primete i analizeaz notificrile privind prelucrarea datelor cu caracter
personal, anunnd operatorului rezultatele controlului prealabil;
c)autorizeaz prelucrrile de date n situaiile prevzute de lege;
d)poate dispune, n cazul n care constat nclcarea dispoziiilor prezentei legi,
suspendarea provizorie sau ncetarea prelucrrii datelor, tergerea parial ori
integral a datelor prelucrate i poate s sesiseze organele de urmrire penal sau
s intenteze aciuni n justiie;
d1)informeaz persoanele fizice sau/i juridice care activeaz n aceste domenii, n
mod direct sau prin intermediul structurilor asociative ale acestora, asupra
necesitii respectrii obligaiilor i ndeplinirii procedurilor prevzute de prezenta
lege;
(la data 12-May-2005 Art. 21, alin. (3), litera D. din capitolul VI completat de Art.
22, punctul 2. din capitolul V din Legea 102/2005 )
e)pstreaz i pune la dispoziie publicului registrul de eviden a prelucrrilor de
date cu caracter personal;
f)primete i soluioneaz plngeri, sesizri sau cereri de la persoanele fizice i
comunic soluia dat ori, dup caz, diligenele depuse;
g)efectueaz investigaii din oficiu sau la primirea unor plngeri ori sesizri;
h)este consultat atunci cnd se elaboreaz proiecte de acte normative referitoare
la protecia drepturilor i libertilor persoanelor, n privina prelucrrii datelor cu
caracter personal;
i)poate face propuneri privind iniierea unor proiecte de acte normative sau
modificarea actelor normative n vigoare n domenii legate de prelucrarea datelor
cu caracter personal;
j)coopereaz cu autoritile publice i cu organele administraiei publice,
centralizeaz i analizeaz rapoartele anuale de activitate ale acestora privind
protecia persoanelor n privina prelucrrii datelor cu caracter personal,
formuleaz recomandri i avize asupra oricrei chestiuni legate de protecia
drepturilor i libertilor fundamentale n privina prelucrrii datelor cu caracter
personal, la cererea oricrei persoane, inclusiv a autoritilor publice i a organelor
administraiei publice; aceste recomandri i avize trebuie s fac meniune
despre temeiurile pe care se sprijin i se comunic n copie i Ministerului Justiiei;
atunci cnd recomandarea sau avizul este cerut de lege, se public n Monitorul
Oficial al Romniei, Partea I;
k)coopereaz cu autoritile similare de peste hotare n vederea asistenei
mutuale, precum i cu persoanele cu domiciliul sau cu sediul n strintate, n
scopul aprrii drepturilor i libertilor fundamentale ce pot fi afectate prin
prelucrarea datelor cu caracter personal;
l)ndeplinete alte atribuii prevzute de lege.
m)modul de organizare i funcionare a Autoritii Naionale de Supraveghere a
Prelucrrii
Datelor
cu
Caracter
Personal
se
stabilete
prin
lege.
(la data 12-May-2005 Art. 21, alin. (3) din capitolul VI completat de Art. 22,
punctul 3. din capitolul V din Legea 102/2005 )
(4)ntregul personal al autoritii de supraveghere are obligaia de a pstra
secretul profesional, cu excepiile prevzute de lege, pe termen nelimitat, asupra
informaiilor confideniale sau clasificate la care are sau a avut acces n exercitarea

atribuiilor de serviciu, inclusiv dup ncetarea raporturilor juridice cu autoritatea

de supraveghere.
Art. 22: Notificarea ctre autoritatea de supraveghere
(1)Operatorul este obligat s notifice autoritii de supraveghere, personal sau
prin reprezentant, nainte de efectuarea oricrei prelucrri ori a oricrui ansamblu
de prelucrri avnd acelai scop sau scopuri corelate.
(2)Notificarea nu este necesar n cazul n care prelucrarea are ca unic scop
inerea unui registru destinat prin lege informrii publicului i deschis spre
consultare publicului n general sau oricrei persoane care probeaz un interes
legitim, cu condiia ca prelucrarea s se limiteze la datele strict necesare inerii
registrului menionat.
(3)Notificarea va cuprinde cel puin urmtoarele informaii:
a)numele sau denumirea i domiciliul ori sediul operatorului i ale reprezentantului
desemnat al acestuia, dac este cazul;
b)scopul sau scopurile prelucrrii;
c)o descriere a categoriei sau a categoriilor de persoane vizate i a datelor ori a
categoriilor de date ce vor fi prelucrate;
d)destinatarii sau categoriile de destinatari crora se intenioneaz s li se
dezvluie datele;
e)garaniile care nsoesc dezvluirea datelor ctre teri;
f)modul n care persoanele vizate sunt informate asupra drepturilor lor; data
estimat pentru ncheierea operaiunilor de prelucrare, precum i destinaia
ulterioar a datelor;
g)transferuri de date care se intenioneaz s fie fcute ctre alte state;
h)o descriere general care s permit aprecierea preliminar a msurilor luate
pentru asigurarea securitii prelucrrii;
i)specificarea oricrui sistem de eviden a datelor cu caracter personal, care are
legtur cu prelucrarea, precum i a eventualelor legturi cu alte prelucrri de
date sau cu alte sisteme de eviden a datelor cu caracter personal, indiferent
dac se efectueaz, respectiv dac sunt sau nu sunt situate pe teritoriul Romniei;
j)motivele care justific aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori
ale art. 13 alin. (5) sau (6), n situaia n care prelucrarea datelor se face exclusiv
n scopuri jurnalistice, literare sau artistice ori n scopuri statistice, de cercetare
istoric sau tiinific.
(4)Dac notificarea este incomplet, autoritatea de supraveghere va solicita
completarea acesteia.
(5)n limitele puterilor de investigare de care dispune, autoritatea de supraveghere
poate solicita i alte informaii, n special privind originea datelor, tehnologia de
prelucrare automat utilizat i detalii referitoare la msurile de securitate.
Dispoziiile prezentului alineat nu se aplic n situaia n care prelucrarea datelor se
face exclusiv n scopuri jurnalistice, literare sau artistice.
(6)Dac se intenioneaz ca datele care sunt prelucrate s fie transferate n
strintate, notificarea va cuprinde i urmtoarele elemente:
a)categoriile de date care vor face obiectul transferului;
b)ara de destinaie pentru fiecare categorie de date.
(la data 22-Oct-2007 Art. 22, alin. (7) din capitolul VI abrogat de Art. 1, punctul 2.
din Legea 278/2007 )

(8)Autoritile publice care efectueaz prelucrri de date cu caracter personal n

legtur cu activitile descrise la art. 2 alin. (5), n temeiul legii sau n
ndeplinirea obligaiilor asumate prin acorduri internaionale ratificate, sunt scutite
de taxa prevzut la alin. (7). Notificarea se va transmite n termen de 15 zile de la
intrarea n vigoare a actului normativ care instituie obligaia respectiv i va
cuprinde numai urmtoarele elemente:
a)denumirea i sediul operatorului;
b)scopul i temeiul legal al prelucrrii;
c)categoriile de date cu caracter personal supuse prelucrrii.
(9)Autoritatea de supraveghere poate stabili i alte situaii n care notificarea nu
este necesar, n afara celei prevzute la alin. (2), sau situaii n care notificarea se
poate efectua ntr-o form simplificat, precum i coninutul acesteia, numai n
unul dintre urmtoarele cazuri:
a)atunci cnd, lund n considerare natura datelor destinate s fie prelucrate,
prelucrarea nu poate afecta, cel puin aparent, drepturile persoanelor vizate, cu
condiia s precizeze expres scopurile n care se poate face o asemenea
prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau
categoriile de persoane vizate, destinatarii sau categoriile de destinatari crora
datele le pot fi dezvluite i perioada pentru care datele pot fi stocate;
b)atunci cnd prelucrarea se efectueaz n condiiile art. 7 alin. (2) lit. d).
Art. 23: Controlul prealabil
(1)Autoritatea de supraveghere va stabili categoriile de operaiuni de prelucrare
care sunt susceptibile de a prezenta riscuri speciale pentru drepturile i libertile
persoanelor.
(2)Dac pe baza notificrii autoritatea de supraveghere constat c prelucrarea se
ncadreaz n una dintre categoriile menionate la alin. (1), va dispune obligatoriu
efectuarea unui control prealabil nceperii prelucrrii respective, cu anunarea
operatorului.
(3)Operatorii care nu au fost anunai n termen de 5 zile de la data notificrii
despre efectuarea unui control prealabil pot ncepe prelucrarea.
(4)n situaia prevzut la alin. (2) autoritatea de supraveghere este obligat ca, n
termen de cel mult 30 de zile de la data notificrii, s aduc la cunotin
operatorului rezultatul controlului efectuat, precum i decizia emis n urma
acestuia.
Art. 24: Registrul de eviden a prelucrrilor de date cu caracter personal
(1)Autoritatea de supraveghere pstreaz un registru de eviden a prelucrrilor
de date cu caracter personal, notificate n conformitate cu prevederile art. 22.
Registrul va cuprinde toate informaiile prevzute la art. 22 alin. (3).
(2)Fiecare operator primete un numr de nregistrare. Numrul de nregistrare
trebuie menionat pe orice act prin care datele sunt colectate, stocate sau
dezvluite.
(3)Orice schimbare de natur s afecteze exactitatea informaiilor nregistrate va fi
comunicat autoritii de supraveghere n termen de 5 zile. Autoritatea de
supraveghere va dispune de ndat efectuarea meniunilor corespunztoare n
registru.

(4)Activitile de prelucrare a datelor cu caracter personal, ncepute anterior

intrrii n vigoare a prezentei legi, vor fi notificate n vederea nregistrrii n termen
de 15 zile de la data intrrii n vigoare a prezentei legi.
(5)Registrul de eviden a prelucrrilor de date cu caracter personal este deschis
spre consultare publicului. Modalitatea de consultare se stabilete de autoritatea
de supraveghere.
Art. 25: Plngeri adresate autoritii de supraveghere
(1)n vederea aprrii drepturilor prevzute de prezenta lege persoanele ale cror
date cu caracter personal fac obiectul unei prelucrri care cade sub incidena
prezentei legi pot nainta plngere ctre autoritatea de supraveghere. Plngerea se
poate face direct sau prin reprezentant. Persoana lezat poate mputernici o
asociaie sau o fundaie s i reprezinte interesele.
(2)Plngerea ctre autoritatea de supraveghere nu poate fi naintat dac o cerere
n justiie, avnd acelai obiect i aceleai pri, a fost introdus anterior.
(3)n afara cazurilor n care o ntrziere ar cauza un prejudiciu iminent i ireparabil,
plngerea ctre autoritatea de supraveghere nu poate fi naintat mai devreme de
15 zile de la naintarea unei plngeri cu acelai coninut ctre operator.
(4)n vederea soluionrii plngerii, dac apreciaz c este necesar, autoritatea de
supraveghere poate audia persoana vizat, operatorul i, dac este cazul,
persoana mputernicit sau asociaia ori fundaia care reprezint interesele
persoanei vizate. Aceste persoane au dreptul de a nainta cereri, documente i
memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
(5)Dac plngerea este gsit ntemeiat, autoritatea de supraveghere poate
decide oricare dintre msurile prevzute la art. 21 alin. (3) lit. d). Interdicia
temporar a prelucrrii poate fi instituit numai pn la ncetarea motivelor care
au determinat luarea acestei msuri.
(6)Decizia trebuie motivat i se comunic prilor interesate n termen de 30 de
zile de la data primirii plngerii.
(7)Autoritatea de supraveghere poate ordona, dac apreciaz necesar,
suspendarea unora sau tuturor operaiunilor de prelucrare pn la soluionarea
plngerii n condiiile alin. (5).
(8)Autoritatea de supraveghere se poate adresa justiiei pentru aprarea oricror
drepturi garantate de prezenta lege persoanelor vizate. Instana competent este
Tribunalul Municipiului Bucureti. Cererea de chemare n judecat este scutit de
taxa de timbru.
(9)La cererea persoanelor vizate, pentru motive ntemeiate, instana poate
dispune suspendarea prelucrrii pn la soluionarea plngerii de ctre autoritatea
de supraveghere.
(10)Prevederile alin. (4)-(9) se aplic n mod corespunztor i n situaia n care
autoritatea de supraveghere afl pe orice alt cale despre svrirea unei nclcri
a drepturilor recunoscute de prezenta lege persoanelor vizate.

Art. 26: Contestarea deciziilor autoritii de supraveghere

(1)mpotriva oricrei decizii emise de autoritatea de supraveghere n temeiul

dispoziiilor prezentei legi operatorul sau persoana vizat poate formula
contestaie n termen de 15 zile de la comunicare, sub sanciunea decderii, la
instana de contencios administrativ competent. Cererea se judec de urgen, cu
citarea prilor. Soluia este definitiv i irevocabil.
(2)Fac excepie de la prevederile alin. (1), precum i de la cele ale art. 23 i 25
prelucrrile de date cu caracter personal, efectuate n cadrul activitilor prevzute
la art. 2 alin. (5).
Art. 27: Exercitarea atribuiilor de investigare
(1)Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei
plngeri, orice nclcare a drepturilor persoanelor vizate, respectiv a obligaiilor
care revin operatorilor i, dup caz, persoanelor mputernicite, n cadrul efecturii
prelucrrilor de date cu caracter personal, n scopul aprrii drepturilor i
libertilor fundamentale ale persoanelor vizate.
(2)Atribuiile de investigare nu pot fi exercitate de ctre autoritatea de
supraveghere n cazul n care o cerere n justiie introdus anterior are ca obiect
svrirea aceleiai nclcri a drepturilor i opune aceleai pri.
(3)n exercitarea atribuiilor de investigare autoritatea de supraveghere poate
solicita operatorului orice informaii legate de prelucrarea datelor cu caracter
personal i poate verifica orice document sau nregistrare referitoare la prelucrarea
de date cu caracter personal.
(4)Secretul de stat i secretul profesional nu pot fi invocate pentru a mpiedica
exercitarea atribuiilor acordate prin prezenta lege autoritii de supraveghere.
Atunci cnd este invocat protecia secretului de stat sau a secretului profesional,
autoritatea de supraveghere are obligaia de a pstra secretul.
(la data 12-May-2005 Art. 27, alin. (5) din capitolul VI abrogat de Art. 22, punctul
4. din capitolul V din Legea 102/2005 )
Art. 28: Norme de conduit
(1)Asociaiile profesionale au obligaia de a elabora i de a supune spre avizare
autoritii de supraveghere coduri de conduit care s conin norme adecvate
pentru protecia drepturilor persoanelor ale cror date cu caracter personal pot fi
prelucrate de ctre membrii acestora.
(2)Normele de conduit trebuie s prevad msuri i proceduri care s asigure un
nivel satisfctor de protecie, innd seama de natura datelor ce pot fi prelucrate.
Autoritatea de supraveghere poate dispune msuri i proceduri specifice pentru
perioada n care normele de conduit la care s-a fcut referire anterior nu sunt
adoptate.
CAPITOLUL VII: Transferul n strintate al datelor cu caracter personal
Art. 29: Condiiile transferului n strintate al datelor cu caracter
personal
(la data 10-Mar-2009 Art. 29 din capitolul VII a se vedea referinte de aplicare din
Decizia 10/2009 )
(la data 10-Mar-2003 Art. 29 din capitolul VII a se vedea referinte de aplicare din
Ordinul 6/2003 )

(1)Transferul ctre un alt stat de date cu caracter personal care fac obiectul unei
prelucrri sau sunt destinate s fie prelucrate dup transfer poate avea loc numai
n condiiile n care nu se ncalc legea romn, iar statul ctre care se
intenioneaz transferul asigur un nivel de protecie adecvat.
(2)Nivelul de protecie va fi apreciat de ctre autoritatea de supraveghere, innd
seama de totalitatea mprejurrilor n care se realizeaz transferul de date, n
special avnd n vedere natura datelor transmise, scopul prelucrrii i durata
propus pentru prelucrare, statul de origine i statul de destinaie final, precum i
legislaia statului solicitant. n cazul n care autoritatea de supraveghere constat
c nivelul de protecie oferit de statul de destinaie este nesatisfctor, poate
dispune interzicerea transferului de date.
(3)n toate situaiile transferul de date cu caracter personal ctre un alt stat va
face obiectul unei notificri prealabile a autoritii de supraveghere.
(4)Autoritatea de supraveghere poate autoriza transferul de date cu caracter
personal ctre un stat a crui legislaie nu prevede un nivel de protecie cel puin
egal cu cel oferit de legea romn atunci cnd operatorul ofer garanii suficiente
cu privire la protecia drepturilor fundamentale ale persoanelor. Aceste garanii
trebuie s fie stabilite prin contracte ncheiate ntre operatori i persoanele fizice
sau juridice din dispoziia crora se efectueaz transferul.
(5)Prevederile alin. (2), (3) i (4) nu se aplic dac transferul datelor se face n
baza prevederilor unei legi speciale sau ale unui acord internaional ratificat de
Romnia, n special dac transferul se face n scopul prevenirii, cercetrii sau
reprimrii unei infraciuni.
(6)Prevederile prezentului articol nu se aplic atunci cnd prelucrarea datelor se
face exclusiv n scopuri jurnalistice, literare sau artistice, dac datele au fost fcute
publice n mod manifest de ctre persoana vizat sau sunt strns legate de
calitatea de persoan public a persoanei vizate ori de caracterul public al faptelor
n care este implicat.
Art. 30: Situaii n care transferul este ntotdeauna permis
Transferul de date este ntotdeauna permis n urmtoarele situaii:
a)cnd persoana vizat i-a dat n mod explicit consimmntul pentru efectuarea
transferului; n cazul n care transferul de date se face n legtur cu oricare dintre
datele prevzute la art. 7, 8 i 10, consimmntul trebuie dat n scris;
b)cnd este necesar pentru executarea unui contract ncheiat ntre persoana
vizat i operator sau pentru executarea unor msuri precontractuale dispuse la
cererea persoanei vizate;
c)cnd este necesar pentru ncheierea sau pentru executarea unui contract
ncheiat ori care se va ncheia, n interesul persoanei vizate, ntre operator i un
ter;
d)cnd este necesar pentru satisfacerea unui interes public major, precum
aprarea naional, ordinea public sau sigurana naional, pentru buna
desfurare a procesului penal ori pentru constatarea, exercitarea sau aprarea
unui drept n justiie, cu condiia ca datele s fie prelucrate n legtur cu acest
scop i nu mai mult timp dect este necesar;
e)cnd este necesar pentru a proteja viaa, integritatea fizic sau sntatea
persoanei vizate;

f)cnd intervine ca urmare a unei cereri anterioare de acces la documente oficiale

care sunt publice ori a unei cereri privind informaii care pot fi obinute din registre
sau prin orice alte documente accesibile publicului.
CAPITOLUL VIII: Contravenii i sanciuni
Art. 31: Omisiunea de a notifica i notificarea cu rea-credin
Omisiunea de a efectua notificarea n condiiile art. 22 sau ale art. 29 alin. (3) n
situaiile n care aceast notificare este obligatorie, precum i notificarea
incomplet sau care conine informaii false constituie contravenii, dac nu sunt
svrite n astfel de condiii nct s constituie infraciuni, i se sancioneaz cu
amend de la 5.000.000 lei la 100.000.000 lei.

Art. 32: Prelucrarea nelegal a datelor cu caracter personal

Prelucrarea datelor cu caracter personal de ctre un operator sau de o persoan
mputernicit de acesta, cu nclcarea prevederilor art. 4-10 sau cu nesocotirea
drepturilor prevzute la art. 12-15 sau la art. 17, constituie contravenie, dac nu
este svrit n astfel de condiii nct s constituie infraciune, i se sancioneaz
cu amend de la 10.000.000 lei la 250.000.000 lei.
Art. 33: Nendeplinirea obligaiilor privind confidenialitatea i aplicarea
msurilor de securitate
Nendeplinirea obligaiilor privind aplicarea msurilor de securitate i de pstrare a
confidenialitii prelucrrilor, prevzute la art. 19 i 20, constituie contravenie,
dac nu este svrit n astfel de condiii nct s constituie infraciune, i se
sancioneaz cu amend de la 15.000.000 lei la 500.000.000 lei.
Art. 34: Refuzul de a furniza informaii
Refuzul de a furniza autoritii de supraveghere informaiile sau documentele
cerute de aceasta n exercitarea atribuiilor de investigare prevzute la art. 27
constituie contravenie, dac nu este svrit n astfel de condiii nct s
constituie infraciune, i se sancioneaz cu amend de la 10.000.000 lei la
150.000.000 lei.
Art. 35: Constatarea contraveniilor i aplicarea sanciunilor
(1)Constatarea contraveniilor i aplicarea sanciunilor se efectueaz de ctre
autoritatea de supraveghere, care poate delega aceste atribuii unor persoane
recrutate din rndul personalului su, precum i de reprezentani mputernicii ai
organelor cu atribuii de supraveghere i control, abilitate potrivit legii.
(2)Dispoziiile prezentei legi referitoare la contravenii se completeaz cu
prevederile Ordonanei Guvernului nr. 2/2001 privind regimul juridic al
contraveniilor, n msura n care prezenta lege nu dispune altfel.
(3)mpotriva proceselor-verbale de constatare i sancionare se poate face
plngere la seciile de contencios administrativ ale tribunalelor.
CAPITOLUL IX: Dispoziii finale
Art. 36: Intrarea n vigoare

Prezenta lege intr n vigoare la data publicrii ei n Monitorul Oficial al Romniei,

Partea I, i se pune n aplicare n termen de 3 luni de la intrarea sa n vigoare.
-****Aceast lege a fost adoptat de Senat n edina din 15 octombrie 2001, cu
respectarea prevederilor art. 74 alin. (2) din Constituia Romniei.
PREEDINTELE SENATULUI
NICOLAE VCROIU
Aceast lege a fost adoptat de Camera Deputailor n edina din 22 octombrie
2001, cu respectarea prevederilor art. 74 alin. (2) din Constituia Romniei.
PREEDINTELE CAMEREI DEPUTAILOR
VALER DORNEANU
Publicat n Monitorul Oficial cu numrul 790 din data de 12 decembrie 2001