I. Legislativ

A. Legislaţie comunitară (aquis relevant)

- Convenţia de Implementare a Acordului Schengen – art. 102-118 - protecţia datelor personale în SIS şi art. 126 - 130 –protecţia datelor cu caracter personal;- Convenţia pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată laStrasbourg la 28 ianuarie 1981;

- Directiva Consiliului 95/46/EC a Parlamentului European şi a Consiliului European din 24 octombrie 1995 cu privirela protecţia persoanelor referitoare la procesarea datelor personale şi la libera circulaţie a acestor date (OJL 281,23.11.1995, p.31);

- Directiva 2002/58/EC a Parlamentului European şi a Consiliului din 12.07.2002 privind procesarea datelor personale şiprotecţia intimităţii în sectorul comunicaţiilor electronice;- Regulamentul (EC) nr. 45/2001 al Parlamentului European şi al Consiliului privind protecţia persoanelor cu privire laprocesarea datelor personale de către instituţiile şi organismele comunitare şi la libera circulaţie a acestor date.B. Legislaţie internă- Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi liberacirculaţie a acestor date;

- Legea nr. 682/2001 privind ratificarea de către România a Convenţiei pentru protejarea persoanelor faţă de prelucrareaautomatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;- Legea nr. 102/2005 privind înfiinţarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cuCaracter Personal.  

II. Definiţii date cu caracter personal - orice informaţii referitoare la o persoana fizica identificata sau identificabila; o persoanaidentificabila este acea persoana care poate fi identificata, direct sau indirect, în mod particular prin referire la un numãr deidentificare ori la unul sau la mai mulţi factori specifici identitãţii sale fizice, fiziologice, psihice, economice, culturale sausociale;prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectueazã asupra datelor cu caracterpersonal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea orimodificarea, extragerea, consultarea, utilizarea, dezvaluirea cãtre terţi prin transmitere, diseminare sau în orice alt mod,alaturarea ori combinarea, blocarea, ştergerea sau distrugerea;stocarea - pãstrarea pe orice fel de suport a datelor cu caracter personal culese;sistem de evidenta a datelor cu caracter personal - orice structura organizatã de date cu caracter personal, accesibila potrivitunor criterii determinate, indiferent dacã aceasta structura este organizatã în mod centralizat ori descentralizat sau esterepartizata dupã criterii functionale ori geografice;operator - orice persoana fizica sau juridicã, de drept privat ori de drept public, inclusiv autoritãţile publice, instituţiile şistructurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacã scopul şimijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ,operator este persoana fizica sau juridicã, de drept public ori de drept privat, care este desemnatã ca operator prin acel actnormativ sau în baza acelui act normativ;persoana imputernicita de cãtre operator - o persoana fizica sau juridicã, de drept privat ori de drept public, inclusivautoritãţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seamaoperatorului;terţ - orice persoana fizica sau juridicã, de drept privat ori de drept public, inclusiv autoritãţile publice, instituţiile şi structurileteritoriale ale acestora, alta decât persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritateadirecta a operatorului sau a persoanei împuternicite, sunt autorizate sa prelucreze date;destinatar - orice persoana fizica sau juridicã, de drept privat ori de drept public, inclusiv autoritãţile publice, instituţiile şistructurile teritoriale ale acestora, cãreia îi sunt dezvãluite date, indiferent dacã este sau nu terţ; autoritãţile publice cãrora li secomunica date în cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;date anonime - date care, datoritã originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificatasau identificabila.III. Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal(extras din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi liberacirculaţie a acestor date)Informarea persoanei vizate

ART. 12(1) În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizata, operatorul este obligat sa furnizezepersoanei vizate cel puţin urmãtoarele informaţii, cu excepţia cazului în care aceasta persoana poseda deja informaţiilerespective:a) identitatea operatorului şi a reprezentantului acestuia, dacã este cazul;b) scopul în care se face prelucrarea datelor;c) informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacã furnizarea tuturor datelor ceruteeste obligatorie şi consecinţele refuzului de a le furniza; existenta drepturilor prevãzute de prezenta lege pentru persoana vizata,în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;d) orice alte informaţii a cãror furnizare este impusa prin dispoziţie a autoritãţii de supraveghere, ţinând seama de specificulprelucrãrii.(2) În cazul în care datele nu sunt obţinute direct de la persoana vizata, operatorul este obligat ca, în momentul colectãriidatelor sau, dacã se intenţioneazã dezvaluirea acestora cãtre terţi, cel mai târziu pana în momentul primei dezvaluiri, safurnizeze persoanei vizate cel puţin urmãtoarele informaţii, cu excepţia cazului în care persoana vizata poseda deja informaţiilerespective:a) identitatea operatorului şi a reprezentantului acestuia, dacã este cazul;b) scopul în care se face prelucrarea datelor;c) informaţii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existentadrepturilor prevãzute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenţie asupra datelor şi deopoziţie, precum şi condiţiile în care pot fi exercitate;d) orice alte informaţii a cãror furnizare este impusa prin dispoziţie a autoritãţii de supraveghere, ţinând seama de specificulprelucrãrii.(3) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectueazã exclusiv în scopuri jurnalistice, literare sauartistice, dacã aplicarea acestora ar da indicii asupra surselor de informare.(4) Prevederile alin. (2) nu se aplica în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorica sauştiinţificã, ori în orice alte situaţii în care furnizarea unor asemenea informaţii se dovedeşte imposibila sau ar implica un efortdisproportionat fata de interesul legitim care ar putea fi lezat, precum şi în situaţiile în care înregistrarea sau dezvaluirea dateloreste expres prevãzutã de lege.Dreptul de acces la date   ART. 13(1) Orice persoana vizata are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an,confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în careprelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, împreunã cu confirmarea, cel puţinurmãtoarele:a) informaţii referitoare la scopurile prelucrãrii, categoriile de date avute în vedere şi destinatarii sau categoriile de destinataricãrora le sunt dezvãluite datele;b) comunicarea într-o forma inteligibila a datelor care fac obiectul prelucrãrii, precum şi a oricãrei informaţii disponibile cuprivire la originea datelor;c) informaţii asupra principiilor de funcţionare a mecanismului prin care se efectueazã orice prelucrare automatã a datelor carevizeazã persoana respectiva;d) informaţii privind existenta dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care potfi exercitate;e) informaţii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevãzut la art.24, de a inainta plângere cãtre autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziiloroperatorului, în conformitate cu dispoziţiile prezentei legi.(2) Persoana vizata poate solicita de la operator informaţiile prevãzute la alin. (1), printr-o cerere întocmitã în forma scrisã,datatã şi semnatã. În cerere solicitantul poate arata dacã doreşte ca informaţiile sa îi fie comunicate la o anumitã adresa, carepoate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.(3) Operatorul este obligat sa comunice informaţiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectareaeventualei optiuni a solicitantului exprimate potrivit alin. (2).(4) În cazul datelor cu caracter personal legate de starea de sãnãtate, cererea prevãzutã la alin. (2) poate fi introdusã depersoana vizata fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele cãreia esteintrodusã. La cererea operatorului sau a persoanei vizate comunicarea prevãzutã la alin. (3) poate fi facuta prin intermediul unuicadru medical desemnat de persoana vizata.(5) În cazul în care datele cu caracter personal legate de starea de sãnãtate sunt prelucrate în scop de cercetare ştiinţificã, dacãnu exista, cel puţin aparent, riscul de a se aduce atingere drepturilor persoanei vizate şi dacã datele nu sunt utilizate pentru a luadecizii sau mãsuri fata de o anumitã persoana, comunicarea prevãzutã la alin. (3) se poate face şi într-un termen mai mare decâtcel prevãzut la acel alineat, în mãsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetãrii, şi nu mai târziu demomentul în care cercetarea este încheiatã. În acest caz persoana vizata trebuie sa isi fi dat în mod expres şi neechivocconsimţãmântul ca datele sa fie prelucrate în scop de cercetare ştiinţificã, precum şi asupra posibilei amânãri a comunicãriiprevãzute la alin. (3) din acest motiv.(6) Prevederile alin. (2) nu se aplica atunci când prelucrarea datelor se efectueazã exclusiv în scopuri jurnalistice, literare sauartistice, dacã aplicarea acestora ar da indicii asupra surselor de informare.Dreptul de intervenţie asupra datelor   ART. 14(1) Orice persoana vizata are dreptul de a obţine de la operator, la cerere şi în mod gratuit:a) dupã caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a cãror prelucrare nu este conformã prezentei legi, înspecial a datelor incomplete sau inexacte;b) dupã caz, transformarea în date anonime a datelor a cãror prelucrare nu este conformã prezentei legi;c) notificarea cãtre terţii cãrora le-au fost dezvãluite datele a oricãrei operaţiuni efectuate conform lit. a) sau b), dacã aceastanotificare nu se dovedeşte imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat.(2) Pentru exercitarea dreptului prevãzut la alin. (1) persoana vizata va inainta operatorului o cerere întocmitã în forma scrisã,datatã şi semnatã. În cerere solicitantul poate arata dacã doreşte ca informaţiile sa îi fie comunicate la o anumitã adresa, carepoate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.(3) Operatorul este obligat sa comunice mãsurile luate în temeiul alin. (1), precum şi, dacã este cazul, numele terţului cãruiai-au fost dezvãluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, curespectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).Dreptul de opoziţieART. 15(1) Persoana vizata are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia saparticularã, ca date care o vizeazã sa facã obiectul unei prelucrari, cu excepţia cazurilor în care exista dispoziţii legale contrare.În caz de opoziţie justificatã prelucrarea nu mai poate viza datele în cauza.(2) Persoana vizata are dreptul de a se opune în orice moment, în mod gratuit şi fãrã nici o justificare, ca datele care o vizeazãsa fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terţ, sau sa fie dezvãluite unor terţi într-unasemenea scop.(3) În vederea exercitãrii drepturilor prevãzute la alin. (1) şi (2) persoana vizata va inainta operatorului o cerere întocmitã înforma scrisã, datatã şi semnatã. În cerere solicitantul poate arata dacã doreşte ca informaţiile sa îi fie comunicate la o anumitãadresa, care poate fi şi de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va facenumai personal.(4) Operatorul este obligat sa comunice persoanei vizate mãsurile luate în temeiul alin. (1) sau (2), precum şi, dacã este cazul,numele terţului cãruia i-au fost dezvãluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de ladata primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).Excepţii   ART. 16(1) Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se aplica în cazul activitãţilor prevãzute la art. 2 alin. (5), dacãprin aplicarea acestora este prejudiciata eficienta acţiunii sau obiectivul urmãrit în îndeplinirea atribuţiilor legale ale autoritãţiipublice.(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesarã atingerii obiectivului urmãrit prin desfãşurareaactivitãţilor menţionate la art. 2 alin. (5).(3) Dupã încetarea situaţiei care justifica aplicarea alin. (1) şi (2) operatorii care desfãşoarã activitãţile prevãzute la art. 2 alin.(5) vor lua mãsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.(4) Autoritãţile publice ţin evidenta unor astfel de cazuri şi informeazã periodic autoritatea de supraveghere despre modul desoluţionare a lor.Dreptul de a nu fi supus unei decizii individualeART. 17(1) Orice persoana are dreptul de a cere şi de a obţine:a) retragerea sau anularea oricãrei decizii care produce efecte juridice în privinta sa, adoptatã exclusiv pe baza unei prelucraride date cu caracter personal, efectuatã prin mijloace automate, destinatã sa evalueze unele aspecte ale personalitãţii sale, precumcompetenta profesionalã, credibilitatea, comportamentul sau ori alte asemenea aspecte;b) reevaluarea oricãrei alte decizii luate în privinta sa, care o afecteazã în mod semnificativ, dacã decizia a fost adoptatãexclusiv pe baza unei prelucrari de date care întruneşte condiţiile prevãzute la lit. a).(2) Respectându-se celelalte garanţii prevãzute de prezenta lege, o persoana poate fi supusã unei decizii de natura celei vizatela alin. (1), numai în urmãtoarele situaţii:a) decizia este luatã în cadrul încheierii sau executãrii unui contract, cu condiţia ca cererea de încheiere sau de executare acontractului, introdusã de persoana vizata, sa fi fost satisfacuta sau ca unele mãsuri adecvate, precum posibilitatea de a-şi susţinepunctul de vedere, sa garanteze apãrarea propriului interes legitim;b) decizia este autorizata de o lege care precizeazã mãsurile ce garanteazã apãrarea interesului legitim al persoanei vizate.Dreptul de a se adresa justiţieiART. 18(1) Fãrã a se aduce atingere posibilitatii de a se adresa cu plângere autoritãţii de supraveghere, persoanele vizate au dreptul dea se adresa justiţiei pentru apãrarea oricãror drepturi garantate de prezenta lege, care le-au fost incalcate.(2) Orice persoana care a suferit un prejudiciu în urma unei prelucrari de date cu caracter personal, efectuatã ilegal, se poateadresa instanţei competente pentru repararea acestuia.(3) Instanta competenta este cea în a carei raza teritorialã domiciliazã reclamantul. Cererea de chemare în judecata este scutitãde taxa de timbru.Confidenţialitatea prelucrărilor    ART. 19Orice persoana care acţioneazã sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana imputernicita, careare acces la date cu caracter personal, nu poate sa le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului încare acţioneazã în temeiul unei obligaţii legale.IV. Drepturi ale cetăţenilor străini în ceea ce priveşte protecţia datelor personaleConform art. 18 şi 26 din Constituţia României, republicată, cetăţenii străini şi apatrizii care locuiesc în România se bucură deprotecţia generală a persoanelor şi a averilor, garantată de Constituţie şi de alte legi iar autorităţile publice respectă şiocrotesc viaţa intimă, familială şi privată, fără a face distincţie între cetăţenii români şi străini.De asemenea, legea cadru în domeniul protecţiei persoanelor cu privire la prelucrarea datelor cu caracter personal şi liberacirculaţie a acestor date (Legea nr. 677/2001, cu modificările şi completările ulterioare) are ca scop garantarea şi protejareadrepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă, familială şi privată, cu privirela prelucrarea datelor cu caracter personal, fără a face distincţie între cetăţenii români şi străini. De asemenea, această legese aplică prelucrărilor de date cu caracter personal efectuate de persoane fizice sau juridice, române ori străine, de drept publicsau de drept privat, indiferent dacă au loc în sectorul public sau în sectorul privat (art. 2 alin. 6).În acest context, în virtutea dispoziţiilor legale indicate cadrul normativ intern asigură o protecţie similară celor douăcategorii de persoane (cetăţenii români şi străini).V. Plângeri adresate direct ANSPDCPAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritate publică,autonomă şi independentă, cu personalitate juridică care monitorizează şi controlează sub aspectul legalităţii prelucrările de datecu caracter personal care cad sub incidenţa Legii nr. 677/2001.Contact:Str. Olari nr. 32, sectorul 2, BucureştiTel: +40-21-252.55.99Fax: +40-21-252.57.57E-mail: anspdcp@dataprotection.rowww.dataprotection.ro(extras din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi liberacirculaţie a acestor date)   ART. 25(1) În vederea apãrãrii drepturilor prevãzute de prezenta lege (n.n. – Legea nr. 677/2001) persoanele ale cãror date cu caracterpersonal fac obiectul unei prelucrari care cade sub incidenta prezentei legi pot inainta plângere cãtre autoritatea de supraveghere(n.n. - Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal). Plângerea se poate face direct sau prinreprezentant. Persoana lezata poate imputernici o asociaţie sau o fundaţie sa îi reprezinte interesele.(2) Plângerea cãtre autoritatea de supraveghere nu poate fi înaintatã dacã o cerere în justiţie, având acelaşi obiect şi aceleaşipãrţi, a fost introdusã anterior.(3) În afarã cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea cãtre autoritatea desupraveghere nu poate fi înaintatã mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut cãtre operator.(4) În vederea soluţionãrii plângerii, dacã apreciazã ca este necesar, autoritatea de supraveghere poate audia persoana vizata,operatorul şi, dacã este cazul, persoana imputernicita sau asociaţia ori fundaţia care reprezintã interesele persoanei vizate.Aceste persoane au dreptul de a inainta cereri, documente şi memorii. Autoritatea de supraveghere poate dispune efectuarea deexpertize.   (5) Dacã plângerea este gasita intemeiata, autoritatea de supraveghere poate decide oricare dintre mãsurile prevãzute la art. 21alin. (3) lit. d). Interdicţia temporarã a prelucrãrii poate fi instituitã numai pana la încetarea motivelor care au determinat luareaacestei mãsuri.(6) Decizia trebuie motivatã şi se comunica pãrţilor interesate în termen de 30 de zile de la data primirii plângerii.   (7) Autoritatea de supraveghere poate ordonã, dacã apreciazã necesar, suspendarea unora sau tuturor operaţiunilor deprelucrare pana la soluţionarea plângerii în condiţiile alin. (5).(8) Autoritatea de supraveghere se poate adresa justiţiei pentru apãrarea oricãror drepturi garantate de prezenta legepersoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucureşti. Cererea de chemare în judecata este scutitã detaxa de timbru.   (9) La cererea persoanelor vizate, pentru motive întemeiate, instanta poate dispune suspendarea prelucrãrii pana la soluţionareaplângerii de cãtre autoritatea de supraveghere.