Institutia prefectului - Judetul Alba

PROTECTIA DATELOR CU CARACTER PERSONAL

I. LEGISLATIV

A. Legislaţie comunitară (acquis relevant)

- Convenţia de Implementare a Acordului Schengen - art. 102-118-protecţia datelor personale in SIS şi art. 126 130 - protecţia datelor cu caracter personal;

- Convenţia pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;

- Directiva Consiliului 95/46/EC a Parlamentului European şi a Consiliului European din 24 octombrie 1995 cu privire la protecţia persoanelor referitoare la procesarea datelor personale si la libera circulaţie a acestor date (OJ L 281, 23.11.1995, p.31);

- Directiva 2002/58/EC a Parlamentului European şi a Consiliului din 12.07.2002 privind procesarea datelor personale şi protecţia intimităţii in sectorul comunicaţiilor electronice.

- Regulamentul (EC) nr. 45/2001 al Parlamentului European şi al Consiliului privind protecţia persoanelor cu privire la procesarea datelor personale de către instituţiile şi organismele comunitare şi la libera circulatie a acestor date.

B. Legislaţie internă

- Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;

- Legea nr. 682/2001 privind ratificarea de către Romania a Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;

- Legea nr. 102/2005 privind infiinţarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

II. Definiţii

date cu caracter personal - orice informaţii referitoare la o persoana fizica identificata sau identificabila; o persoană identificabilă este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;

prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terti prin transmitere, diseminare sau in orice alt mod, alăturarea ori combinarea, blocarea, Ştergerea sau distrugerea;

stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;

sistem de evidenta a datelor cu caracter personal - orice structura organizata de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent daca aceasta structura este organizata in mod centralizat ori descentralizat sau este repartizata dupa criterii funcţionale ori geografice;

operator - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile si structurile teritoriale ale acestora, care stabileşte scopul si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau in baza acelui act normative.

persoana imputernicita de către operator - o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile si structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;

tert - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autorităţile publice, institutiile si structurile teritoriale ale acestora, alta decat persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei imputernicite, sunt autorizate sa prelucreze date;

destinatar - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritaţile publice, instituţiile si structurile teritoriale ale acestora, căreia ii sunt dezvăluite date, indiferent daca este sau nu tert; autorităţile publice cărora li se comunica date in cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;

date anonime - date care, datorita originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila

III. Drepturile persoanei vizate in contextul prelucrării datelor cu caracter personal

LEGEA 677/2001

ART. 12

Informarea persoanei vizate

(1) In cazul in care datele cu caracter personal sunt obţinute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului in care această persoană posedă deja informaţiile respective:

a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;

b) scopul in care se face prelucrarea datelor;

c) informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza; existenţa drepturilor prevăzute de prezenta lege pentru persoana vizată, in special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile in care pot fi exercitate;

d) orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinand seama de specificul prelucrării.

(2) In cazul in care datele nu sunt obţinute direct de la persoana vizată, operatorul este obligat ca, in momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai tarziu pană in momentul primei dezvăluiri, să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului in care persoana vizată posedă deja informaţiile respective:

a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul;

b) scopul in care se face prelucrarea datelor;

c) informaţii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenţa drepturilor prevăzute de prezenta lege pentru persoana vizată, in special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile in care pot fi exercitate;

d) orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinand seama de specificul prelucrării.

(3) Prevederile alin. (2) nu se aplică atunci cand prelucrarea datelor se efectuează exclusiv in scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.

(4) Prevederile alin. (2) nu se aplică in cazul in care prelucrarea datelor se face in scopuri statistice, de cercetare istorică sau ştiinţifică, ori in orice alte situaţii in care furnizarea unor asemenea informaţii se dovedeşte imposibilă sau ar implica un efort disproporţionat faţă de interesul legitim care ar putea fi lezat, precum şi in situaţiile in care inregistrarea sau dezvăluirea datelor este expres prevăzută de lege.

ART. 13

Dreptul de acces la date

(1) Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi in mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, in situaţia in care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, impreună cu confirmarea, cel puţin următoarele:

a) informaţii referitoare la scopurile prelucrării, categoriile de date avute in vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;

b) comunicarea intr-o formă inteligibilă a datelor care fac obiectul prelucrării, precum şi a oricărei informaţii disponibile cu privire la originea datelor;

c) informaţii asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;

d) informaţii privind existenţa dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile in care pot fi exercitate;

e) informaţii asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor de date cu caracter personal, prevăzut la art. 24, de a inainta plangere către autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului, in conformitate cu dispoziţiile prezentei legi.

(2) Persoana vizată poate solicita de la operator informaţiile prevăzute la alin. (1), printr-o cerere intocmită in formă scrisă, datată şi semnată. In cerere solicitantul poate arăta dacă doreşte ca informaţiile să ii fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.

(3) Operatorul este obligat să comunice informaţiile solicitate, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).

(4) In cazul datelor cu caracter personal legate de starea de sănătate, cererea prevăzută la alin. (2) poate fi introdusă de persoana vizată fie direct, fie prin intermediul unui cadru medical care va indica in cerere persoana in numele căreia este introdusă. La cererea operatorului sau a persoanei vizate comunicarea prevăzută la alin. (3) poate fi făcută prin intermediul unui cadru medical desemnat de persoana vizată.

(5) In cazul in care datele cu caracter personal legate de starea de sănătate sunt prelucrate in scop de cercetare ştiinţifică, dacă nu există, cel puţin aparent, riscul de a se aduce atingere drepturilor persoanei vizate şi dacă datele nu sunt utilizate pentru a lua decizii sau măsuri faţă de o anumită persoană, comunicarea prevăzută la alin. (3) se poate face şi intr-un termen mai mare decat cel prevăzut la acel alineat, in măsura in care aceasta ar putea afecta bunul mers sau rezultatele cercetării, şi nu mai tarziu de momentul in care cercetarea este incheiată. In acest caz persoana vizată trebuie să işi fi dat in mod expres şi neechivoc consimţămantul ca datele să fie prelucrate in scop de cercetare ştiinţifică, precum şi asupra posibilei amanări a comunicării prevăzute la alin. (3) din acest motiv.

(6) Prevederile alin. (2) nu se aplică atunci cand prelucrarea datelor se efectuează exclusiv in scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.

ART. 14

Dreptul de intervenţie asupra datelor

(1) Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi in mod gratuit:

a) după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă prezentei legi, in special a datelor incomplete sau inexacte;

b) după caz, transformarea in date anonime a datelor a căror prelucrare nu este conformă prezentei legi;

c) notificarea către terţii cărora le-au fost dezvăluite datele a oricărei operaţiuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.

(2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizată va inainta operatorului o cerere intocmită in formă scrisă, datată şi semnată. In cerere solicitantul poate arăta dacă doreşte ca informaţiile să ii fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.

(3) Operatorul este obligat să comunice măsurile luate in temeiul alin. (1), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).

ART. 15

Dreptul de opoziţie

(1) Persoana vizată are dreptul de a se opune in orice moment, din motive intemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor in care există dispoziţii legale contrare. In caz de opoziţie justificată prelucrarea nu mai poate viza datele in cauză.

(2) Persoana vizată are dreptul de a se opune in orice moment, in mod gratuit şi fără nici o justificare, ca datele care o vizează să fie prelucrate in scop de marketing direct, in numele operatorului sau al unui terţ, sau să fie dezvăluite unor terţi intr-un asemenea scop.

(3) In vederea exercitării drepturilor prevăzute la alin. (1) şi (2) persoana vizată va inainta operatorului o cerere intocmită in formă scrisă, datată şi semnată. In cerere solicitantul poate arăta dacă doreşte ca informaţiile să ii fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.

(4) Operatorul este obligat să comunice persoanei vizate măsurile luate in temeiul alin. (1) sau (2), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (3).

ART. 16

Excepţii

(1) Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se aplică in cazul activităţilor prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciată eficienţa acţiunii sau obiectivul urmărit in indeplinirea atribuţiilor legale ale autorităţii publice.

(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfăşurarea activităţilor menţionate la art. 2 alin. (5).

(3) După incetarea situaţiei care justifică aplicarea alin. (1) şi (2) operatorii care desfăşoară activităţile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.

(4) Autorităţile publice ţin evidenţa unor astfel de cazuri şi informează periodic autoritatea de supraveghere despre modul de soluţionare a lor.

ART. 17

Dreptul de a nu fi supus unei decizii individuale

(1) Orice persoană are dreptul de a cere şi de a obţine:

a) retragerea sau anularea oricărei decizii care produce efecte juridice in privinţa sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii sale, precum competenţa profesională, credibilitatea, comportamentul său ori alte asemenea aspecte;

b) reevaluarea oricărei alte decizii luate in privinţa sa, care o afectează in mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care intruneşte condiţiile prevăzute la lit. a).

(2) Respectandu-se celelalte garanţii prevăzute de prezenta lege, o persoană poate fi supusă unei decizii de natura celei vizate la alin. (1), numai in următoarele situaţii:

a) decizia este luată in cadrul incheierii sau executării unui contract, cu condiţia ca cererea de incheiere sau de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută sau ca unele măsuri adecvate, precum posibilitatea de a-şi susţine punctul de vedere, să garanteze apărarea propriului interes legitim;

b) decizia este autorizată de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.

ART. 18

Dreptul de a se adresa justiţiei

(1) Fără a se aduce atingere posibilităţii de a se adresa cu plangere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost incălcate.

(2) Orice persoană care a suferit un prejudiciu in urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.

(3) Instanţa competentă este cea in a cărei rază teritorială domiciliază reclamantul. Cererea de chemare in judecată este scutită de taxă de timbru.

ART. 19

Confidenţialitatea prelucrărilor

Orice persoană care acţionează sub autoritatea operatorului sau a persoanei imputernicite, inclusiv persoana imputernicită, care are acces la date cu caracter personal, nu poate să le prelucreze decat pe baza instrucţiunilor operatorului, cu excepţia cazului in care acţionează in temeiul unei obligaţii legale.

IV. Drepturi ale cetăţenilor străini in ceea ce priveşte protecţia datelor personale

Conform art. 18 si 26 din Constituţia Romaniei, republicată, cetăţenii străini si apatrizii care locuiesc in Romania se bucură de protecţia generală a persoanelor si a averilor, garantată de Constituţie si de alte legi iar autorităţile publice respectă si ocrotesc viaţa intimă, familială şi privată, fară a face distincţie intre cetăţenii romani si străini.

De asemenea, legea cadru in domeniul protecţiei persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulaţie a acestor date (Legea nr.677/2001, cu modificările si completările ulterioare) are ca scop garantarea si protejarea drepturilor si libertăţilor fundamentale ale persoanelor fizice, in special a dreptului la viaţă intimă, familiară si privată, cu privire la prelucrarea datelor cu caracter personal, fără a face distincţie intre cetătenii romani si străini. De asemenea, această lege se aplică prelucrărilor de date cu caracter personal efectuate de persoane fizice sau juridice, romane ori străine, de drept public sau de drept privat, indiferent dacă au loc in sectorul public sau in sectorul privat (art.2 alin 6).

In acest context, in virtutea dispoziţiilor legale indicate cadrul normativ intern asigură o protecţie similară celor două categorii de persoane (cetăţeni romani si străini).

V. Plangeri adresate direct ANSPDCP

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritate publică, autonomă si independentă, cu personalitate juridică care monitorizează si controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa Legii nr. 677/2001.

Contact:

Str. Olari nr. 32, sectorul 2, Bucureşti

Tel: +40-21-252.55.99

Fax: +40-21-252.57.57

E-mail: anspdcp@dataprotection.ro

http://www.dataprotection.ro/

LEGEA 677/2001

ART. 25

Plangeri adresate autorităţii de supraveghere

(1) In vederea apărării drepturilor prevăzute de prezenta lege persoanele ale căror date cu caracter personal fac obiectul unei prelucrări care cade sub incidenţa prezentei legi pot inainta plangere către autoritatea de supraveghere. Plangerea se poate face direct sau prin reprezentant. Persoana lezată poate imputernici o asociaţie sau o fundaţie să ii reprezinte interesele.

(2) Plangerea către autoritatea de supraveghere nu poate fi inaintată dacă o cerere in justiţie, avand acelaşi obiect şi aceleaşi părţi, a fost introdusă anterior.

(3) In afara cazurilor in care o intarziere ar cauza un prejudiciu iminent şi ireparabil, plangerea către autoritatea de supraveghere nu poate fi inaintată mai devreme de 15 zile de la inaintarea unei plangeri cu acelaşi conţinut către operator.

(4) In vederea soluţionării plangerii, dacă apreciază că este necesar, autoritatea de supraveghere poate audia persoana vizată, operatorul şi, dacă este cazul, persoana imputernicită sau asociaţia ori fundaţia care reprezintă interesele persoanei vizate. Aceste persoane au dreptul de a inainta cereri, documente şi memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.

(5) Dacă plangerea este găsită intemeiată, autoritatea de supraveghere poate decide oricare dintre măsurile prevăzute la art. 21 alin. (3) lit. d). Interdicţia temporară a prelucrării poate fi instituită numai pană la incetarea motivelor care au determinat luarea acestei măsuri.

(6) Decizia trebuie motivată şi se comunică părţilor interesate in termen de 30 de zile de la data primirii plangerii.

(7) Autoritatea de supraveghere poate ordona, dacă apreciază necesar, suspendarea unora sau tuturor operaţiunilor de prelucrare pană la soluţionarea plangerii in condiţiile alin. (5).

(8) Autoritatea de supraveghere se poate adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege persoanelor vizate. Instanţa competentă este Tribunalul Municipiului Bucureşti. Cererea de chemare in judecată este scutită de taxa de timbru.

(9) La cererea persoanelor vizate, pentru motive intemeiate, instanţa poate dispune suspendarea prelucrării pană la soluţionarea plangerii de către autoritatea de supraveghere.

(10) Prevederile alin. (4) - (9) se aplică in mod corespunzător şi in situaţia in care autoritatea de supraveghere află pe orice altă cale despre săvarşirea unei incălcări a drepturilor recunoscute de prezenta lege persoanelor vizate.