***
Lege nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
Publicat în Monitorul Oficial, Partea I nr. 790 din 12 decembrie 2001
CAPITOLUL IV
Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal
Informarea persoanei vizate
Art. 12. - (1) în cazul în care datele cu caracter personal sunt obținute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puțin următoarele informații, cu excepția cazului în care această persoană posedă deja informațiile respective:
a) identitatea operatorului și a reprezentantului acestuia, dacă este cazul;
b) scopul în care se face prelucrarea datelor;
c) informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existența drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
(2) în cazul în care datele nu sunt obținute direct de la persoana vizată, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenționează dezvăluirea acestora către terți, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puțin următoarele informații, cu excepția cazului în care persoana vizată posedă deja informațiile respective:
a) identitatea operatorului și a reprezentantului acestuia, dacă este cazul;
b) scopul în care se face prelucrarea datelor;
c) informații suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existența drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
(3) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplică în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau științifică, ori în orice alte situații în care furnizarea unor asemenea informații se dovedește imposibilă sau ar implica un efort disproporționat față de interesul legitim care ar putea fi lezat, precum și în situațiile în care înregistrarea sau dezvăluirea datelor este expres prevăzută de lege.
Dreptul de acces la date
Art. 13. - (1) Orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situația în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, cel puțin următoarele:
a) informații referitoare la scopurile prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;
b) comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum și a oricărei informații disponibile cu privire la originea datelor;
c) informații asupra principiilor de funcționare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;
d) informații privind existența dreptului de intervenție asupra datelor și a dreptului de opoziție, precum și condițiile în care pot fi exercitate;
e) informații asupra posibilității de a consulta registrul de evidență a prelucrărilor de date cu caracter personal, prevăzut la art. 24, de a înainta plângere către autoritatea de supraveghere, precum și de a se adresa instanței pentru atacarea deciziilor operatorului, în conformitate cu dispozițiile prezentei legi.
(2) Persoana vizată poate solicita de la operator informațiile prevăzute la alin. (1), printr-o cerere întocmită în formă scrisă, datată și semnată. în cerere solicitantul poate arăta dacă dorește ca informațiile să îi fie comunicate la o anumită adresă, care poate fi și de poștă electronică, sau printr-un serviciu de corespondență care să asigure că predarea i se va face numai personal.
(3) Operatorul este obligat să comunice informațiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opțiuni a solicitantului exprimate potrivit alin. (2).
(4) în cazul datelor cu caracter personal legate de starea de sănătate, cererea prevăzută la alin. (2) poate fi introdusă de persoana vizată fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele căreia este introdusă. La cererea operatorului sau a persoanei vizate comunicarea prevăzută la alin. (3) poate fi făcută prin intermediul unui cadru medical desemnat de persoana vizată.
(5) în cazul în care datele cu caracter personal legate de starea de sănătate sunt prelucrate în scop de cercetare științifică, dacă nu există, cel puțin aparent, riscul de a se aduce atingere drepturilor persoanei vizate și dacă datele nu sunt utilizate pentru a lua decizii sau măsuri față de o anumită persoană, comunicarea prevăzută la alin. (3) se poate face și într-un termen mai mare decât cel prevăzut la acel alineat, în măsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetării, și nu mai târziu de momentul în care cercetarea este încheiată. în acest caz persoana vizată trebuie să își fi dat în mod expres și neechivoc consimțământul ca datele să fie prelucrate în scop de cercetare științifică, precum și asupra posibilei amânări a comunicării prevăzute la alin. (3) din acest motiv.
(6) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
Dreptul de intervenție asupra datelor
Art. 14. - (1) Orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit:
a) după caz, rectificarea, actualizarea, blocarea sau ștergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;
b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;
c) notificarea către terții cărora le-au fost dezvăluite datele a oricărei operațiuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat față de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată și semnată. în cerere solicitantul poate arăta dacă dorește ca informațiile să îi fie comunicate la o anumită adresă, care poate fi și de poștă electronică, sau printr-un serviciu de corespondență care să asigure că predarea i se va face numai personal.
(3) Operatorul este obligat să comunice măsurile luate în temeiul alin. (1), precum și, dacă este cazul, numele terțului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opțiuni a solicitantului exprimate potrivit alin. (2).
Dreptul de opoziție
Art. 15. - (1) Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepția cazurilor în care există dispoziții legale contrare. în caz de opoziție justificată prelucrarea nu mai poate viza datele în cauză.
(2) Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără nici o justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terț, sau să fie dezvăluite unor terți într-un asemenea scop.
(3) în vederea exercitării drepturilor prevăzute la alin. (1) și (2) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată și semnată. în cerere solicitantul poate arăta dacă dorește ca informațiile să îi fie comunicate la o anumită adresă, care poate fi și de poștă electronică, sau printr-un serviciu de corespondență care să asigure că predarea i se va face numai personal.
(4) Operatorul este obligat să comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2), precum și, dacă este cazul, numele terțului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opțiuni a solicitantului exprimate potrivit alin. (3).
Excepții
Art. 16. - (1) Prevederile art. 12, 13, ale art. 14 alin. (3) și ale art. 15 nu se aplică în cazul activităților prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciată eficiența acțiunii sau obiectivul urmărit în îndeplinirea atribuțiilor legale ale autorității publice.
(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfășurarea activităților menționate la art. 2 alin. (5).
(3) După încetarea situației care justifică aplicarea alin. (1) și (2) operatorii care desfășoară activitățile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
(4) Autoritățile publice țin evidența unor astfel de cazuri și informează periodic autoritatea de supraveghere despre modul de soluționare a lor.
Dreptul de a nu fi supus unei decizii individuale
Art. 17. - (1) Orice persoană are dreptul de a cere și de a obține:
a) retragerea sau anularea oricărei decizii care produce efecte juridice în privința sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalității sale, precum competența profesională, credibilitatea, comportamentul său ori alte asemenea aspecte;
b) reevaluarea oricărei alte decizii luate în privința sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care întrunește condițiile prevăzute la lit. a).
(2) Respectându-se celelalte garanții prevăzute de prezenta lege, o persoană poate fi supusă unei decizii de natura celei vizate la alin. (1), numai în următoarele situații:
a) decizia este luată în cadrul încheierii sau executării unui contract, cu condiția ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută sau ca unele măsuri adecvate, precum posibilitatea de a-și susține punctul de vedere, să garanteze apărarea propriului interes legitim;
b) decizia este autorizată de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.
Dreptul de a se adresa justiției
Art. 18. - (1) Fără a se aduce atingere posibilității de a se adresa cu plângere autorității de supraveghere, persoanele vizate au dreptul de a se adresa justiției pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost încălcate.
(2) Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanței competente pentru repararea acestuia.
(3) Instanța competentă este cea în a cărei rază teritorială domiciliază reclamantul. Cererea de chemare în judecată este scutită de taxă de timbru.
Politica de prelucrare a datelor cu caracter personal
Conform prevederile minime privind măsurile de securitate a prelucrărilor de date cu caracter personal, astfel cum sunt acestea detaliate în Ordinul Avocatului poporului nr. 52 din 18 aprilie 2002, fiecare utilizator (2 persoane) are propriul său cod de identificare pentru accesarea bazelor de date a site-ului e-communio.ro. Pentru a intra în baza de date, utilizatorii se identifică cu o parolă. Parolele vor fi schimbate de către administrator o dată la 6 luni pentru fiecare utilizator. Persoana care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepționale sau a unor situații tehnice, doar cu acordul și sub supraveghierea administratorului. Nu se vor executa copii ale bazelor de date decât la cererea expresă a autorităților competente. Computerele folosite de utilizatorii cu acces la datele cu caracter personal au parole și acces restricționat față de alți utilizatori. Periodic se face un control al autentificărilor și tipurilor de acces pentru detectarea unor disfuncționalități. Pentru menținerea securității prelucrării datelor cu caracter personal e-communio.ro utilizează softuri care provin doar din surse sigure și legale. Scoaterea la imprimantă a datelor cu caracter personal este permisă doar la cererea expresă a autorităților competente, în conformitate cu Legea 677/2001.