LEGE nr. 363 din 28 decembrie 2018 privind protec ţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de c ătre autorit ăţile competente în scopul prevenirii, descoperirii, cercet ării, urm ăririi penale şi combaterii infrac ţiunilor sau al execut ării pedepselor, m ăsurilor educative şi de siguran ţă, precum şi privind libera circula ţie a acestor date

Parlamentul României adopt ă prezenta lege.

ART. 1

(1) Prezenta lege reglementeaz ă prelucrarea datelor cu caracter personal în scopul realiz ării activit ăţilor de prevenire, descoperire, cercetare, urm ărire penal ă şi combatere a infrac ţiunilor, de executare a pedepselor, m ăsurilor educative şi de siguran ţă, precum şi de menţinere şi asigurare a ordinii şi siguran ţei publice de c ătre autorit ăţile competente, în limitele competen ţelor stabilite prin lege.

(2) Prelucrarea datelor cu caracter personal pe ntru realizarea activit ăţilor de men ţinere şi asigurare a ordinii şi siguran ţei publice se realizeaz ă numai dac ă acestea sunt prev ăzute de lege şi sunt necesare pentru prevenirea unui pericol cel pu ţin asupra vie ţii, integrit ăţii corporale sau s ănăt ăţii unei persoane ori a propriet ăţii acesteia, precum şi pentru combaterea infrac ţiunilor.

ART. 2

(1) Prezenta lege are ca scop protejarea dreptu rilor şi libert ăţilor fundamentale ale persoanelor fizice, în specia l a dreptului la protec ţia datelor cu caracter personal.

(2) Prezenta lege stabile şte condi ţiile în care se realizeaz ă libera circula ţie a datelor cu caracter personal în scopul realiz ării activit ăţilor prev ăzute la art. 1.

(3) Libera circula ţie a datelor cu caracter personal pe teritoriul naţional sau în rela ţia cu statele membre ale Uniunii Europene, circumscris ă realiz ării activit ăţilor prev ăzute la art. 1, nu poate fi împiedicat ă din motive legate de protec ţia persoanei fa ţă de prelucr ările de date cu caracter personal atât timp cât con di ţiile din prezenta lege sau, dup ă caz, din Regulamentul UE 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protec ţia persoanelor fizice în ceea ce prive şte prelucrarea datelor cu caracter personal şi privind libera circula ţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul genera l privind protec ţia datelor), denumit în continuare Regulamentul genera l privind protec ţia datelor, ori din legisla ţia na ţional ă de punere în aplicare a acestuia sunt îndeplinite.

ART. 3

(1) Prezenta lege se aplic ă prelucr ării datelor cu caracter personal de c ătre autorit ăţile competente în scopurile prev ăzute la art. 1.

(2) Prezenta lege se aplic ă prelucr ării datelor cu caracter personal realizate integral sau par ţial prin mijloace automatizate, precum şi prelucr ării, prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-u n sistem de

eviden ţă a datelor sau care sunt destinate s ă fie incluse într-un asemenea sistem.

(3) Prezenta lege nu se aplic ă prelucr ărilor de date cu caracter personal efectuate pentru realizarea activit ăţilor din domeniul apăr ării na ţionale şi securit ăţii na ţionale, în limitele şi cu restric ţiile stabilite prin legisla ţia în materie.

ART. 4

În sensul prezentei legi, termenii şi expresiile de mai jos au următoarele semnifica ţii:

a) date cu caracter personal - orice informa ţii privind o persoan ă fizic ă identificat ă sau identificabil ă, denumit ă în continuare persoan ă vizat ă; o persoan ă fizic ă identificabil ă este o persoan ă care poate fi identificat ă, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, u n num ăr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice proprii identit ăţii sale fizice, fiziologice, genetice, psihice, economice, cultural e sau sociale;

b) prelucrare - orice opera ţiune sau set de opera ţiuni efectuate asupra datelor cu caracter personal sau seturilor d e date cu caracter personal, cu sau f ăr ă utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurare a, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezv ăluirea prin transmitere, diseminarea sau punerea la dispozi ţie în orice alt mod, alinierea sau combinarea, restric ţionarea, ştergerea sau distrugerea;

c) restric ţionarea prelucr ării - marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;

d) creare de profiluri - orice form ă de prelucrare automat ă a datelor cu caracter personal care const ă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte p ersonale referitoare la o persoan ă fizic ă, în special pentru a analiza sau a preconiza aspecte privind performan ţa la locul de munc ă, situa ţia economic ă, s ănătatea, preferin ţele personale, interesele, corectitudinea, comportamentul, localizarea sau dep las ările respectivei persoane fizice;

e) pseudonimizare - prelucrarea datelor cu cara cter personal într-un asemenea mod încât acestea s ă nu mai poat ă fi atribuite unei anume persoane vizate f ăr ă a se utiliza informa ţii suplimentare, în m ăsura în care aceste informa ţii suplimentare sunt stocate separat şi fac obiectul unor m ăsuri de natur ă tehnic ă şi organizatoric ă destinate s ă garanteze neatribuirea unei persoane fizice identif icate sau identificabile;

f) sistem de eviden ţă a datelor - orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dup ă criterii func ţionale sau geografice;

g) autoritate competent ă - orice autoritate public ă sau orice alt organism sau entitate învestit ă cu exerci ţiul autorit ăţii de stat, competent ă în materie de prevenire, descoperire, cercetare, u rmărire penal ă şi combatere a infrac ţiunilor sau de executare a pedepselor,

inclusiv în materia men ţinerii şi asigur ării ordinii şi siguran ţei publice;

h) operator - autoritatea competent ă care, singur ă sau împreun ă cu altele, stabile şte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele de prelucrare sunt stabilite printr-un act normativ, operatorul s au criteriile specifice pentru determinarea acestuia se stabilesc prin actul normativ de referin ţă;

i) persoan ă împuternicit ă de c ătre operator - persoana fizic ă sau juridic ă, institu ţia/autoritatea public ă, agen ţia sau alt organism care prelucreaz ă datele cu caracter personal în numele operatorului ;

j) destinatar - persoana fizic ă sau juridic ă, institu ţia/autoritatea public ă, agen ţia sau un alt organism c ăruia îi sunt transmise datele cu caracter personal, fie c ă aceasta este sau nu o parte ter ţă; sunt exceptate din în ţelesul defini ţiei autorit ăţile competente care pot primi date cu caracter personal în cadrul unei anchete, în conformitate cu legisla ţia aplicabil ă, iar prelucrarea datelor cu caracter personal respective de c ătre acestea respect ă normele aplicabile în materie de protec ţie a datelor în conformitate cu scopurile prelucr ării;

k) înc ălcarea securit ăţii datelor cu caracter personal - orice eveniment, ac ţiune sau inac ţiune ce poate provoca o înc ălcare a securit ăţii, care duce, în mod accidental sau ilegal, la dis trugerea, pierderea, modificarea, divulgarea neautorizat ă sau accesul neautorizat la datele cu caracter personal transmis e, stocate sau prelucrate în alt mod;

l) date genetice - datele cu caracter personal referitoare la caracteristicile genetice mo ştenite sau dobândite ale unei persoane fizice, care ofer ă informa ţii unice privind fiziologia sau s ănătatea respectivei persoane fizice, astfel cum rezult ă în special în urma unei analize a unei mostre de material biologic rec oltate de la acea persoan ă fizic ă;

m) date biometrice - date cu caracter personal care rezult ă în urma unor tehnici de prelucrare specifice, referito are la caracteristicile fizice, fiziologice sau comportame ntale ale unei persoane fizice, care permit sau confirm ă identificarea unic ă a respectivei persoane fizice, cum ar fi imaginile fa ciale sau datele dactiloscopice;

n) date privind s ănătatea - date cu caracter personal legate de sănătatea fizic ă sau mental ă a unei persoane fizice, inclusiv acordarea de servicii de asisten ţă medical ă, care dezv ăluie informa ţii despre starea de s ănătate a acesteia;

o) autoritate de supraveghere - Autoritatea Na ţional ă de Supraveghere a Prelucr ării Datelor cu Caracter Personal, desemnat ă potrivit Legii nr. 102/2005 privind înfiin ţarea, organizarea şi func ţionarea Autorit ăţii Na ţionale de Supraveghere a Prelucr ării Datelor cu Caracter Personal, cu modific ările şi complet ările ulterioare;

p) organiza ţie interna ţional ă - o organiza ţie şi organismele sale subordonate reglementate de dreptul interna ţional public sau orice alt organism care este instituit printr-un acord închei at între dou ă sau mai multe state sau în temeiul unui astfel de acord ;

q) interoperabilizare - opera ţiunea de a pune în leg ătur ă datele cu caracter personal cuprinse într-un fi şier, într-o baz ă de date sau într-un sistem de eviden ţă automat cu cele cuprinse într-unul sau mai multe fi şiere, baze de date sau sisteme de eviden ţă automate care sunt gestionate de operatori diferi ţi sau de c ătre acela şi operator, dar având scopuri diferite, similare sau corelate, dup ă caz;

r) eviden ţă pasiv ă - fi şier sau baz ă de date cu caracter personal constituit ă în scopul acces ării limitate şi ulterior ştergerii datelor stocate din sistemul de eviden ţă;

s) stat membru - orice stat membru al Uniunii E uropene;

ş) plan de remediere - anex ă la procesul-verbal de constatare şi sanc ţionare a contraven ţiei, întocmit în condi ţiile prev ăzute la art. 62, prin care Autoritatea Na ţional ă de Supraveghere a Prelucr ării Datelor cu Caracter Personal stabile şte m ăsuri şi un termen de remediere;

t) m ăsur ă de remediere - solu ţie dispus ă de Autoritatea Na ţional ă de Supraveghere a Prelucr ării Datelor cu Caracter Personal în planul de remediere în vederea îndeplinirii de c ătre operator sau de c ătre persoana împuternicit ă de acesta a obliga ţiilor prev ăzute de lege;

ţ) termen de remediere - perioada de timp cuprins ă între 60 şi 180 de zile de la data comunic ării procesului-verbal de constatare şi sanc ţionare a contraven ţiei, în care operatorul sau persoana împuternicit ă de acesta are posibilitatea remedierii neregulilor constatate şi îndeplinirii obliga ţiilor legale.

ART. 5

(1) Datele cu caracter personal trebuie s ă fie:

a) prelucrate în mod legal şi echitabil;

b) colectate în scopuri determinate, explicite şi legitime şi s ă nu fie prelucrate într-un mod incompatibil cu acest e scopuri;

c) adecvate, relevante şi neexcesive prin raportare la scopurile în care sunt prelucrate;

d) exacte şi, dac ă este necesar, actualizate; trebuie adoptate toate m ăsurile rezonabile pentru a asigura faptul c ă datele cu caracter personal care sunt inexacte, având în vede re scopurile pentru care sunt prelucrate, s ă fie şterse sau rectificate f ăr ă întârziere;

e) p ăstrate într-o form ă care permite identificarea persoanelor vizate pe o perioad ă care nu dep ăşeşte perioada necesar ă îndeplinirii scopurilor pentru care sunt prelucrate datele respe ctive;

f) prelucrate într-un mod care s ă asigure securitatea adecvat ă a datelor cu caracter personal, inclusiv protec ţia împotriva prelucr ării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deterior ării accidentale, prin luarea de m ăsuri tehnice sau organizatorice corespunz ătoare.

(2) Datele cu caracter personal pot fi prelucra te pentru realizarea activit ăţilor prev ăzute la art. 1 de c ătre acela şi operator sau de c ătre alt operator într-un alt scop decât cel avut în vedere la momentul colect ării datelor cu caracter personal, numai dac ă sunt îndeplinite cumulativ urm ătoarele condi ţii:

a) operatorul este abilitat s ă prelucreze astfel de date cu caracter personal în scopul respectiv, în conformit ate cu cadrul

normativ aplicabil;

b) prelucrarea este necesar ă şi propor ţional ă în raport cu scopul respectiv, în conformitate cu cadrul normativ aplic abil.

(3) Datele cu caracter personal pot fi prelucra te de c ătre acela şi operator sau de c ătre alt operator în scopul arhiv ării în interes public sau în scopuri ştiin ţifice, statistice sau istorice legate de realizarea activit ăţilor prev ăzute la art. 1 alin. (1), cu condi ţia instituirii unor garan ţii adecvate pentru drepturile şi libert ăţile persoanelor vizate.

(4) Operatorul este responsabil pentru respecta rea prevederilor alin. (1)-(3) şi adopt ă măsuri şi/sau instituie proceduri pentru a demonstra respectarea acestor prevederi.

ART. 6

(1) Actele normative, indiferent de nivelul de legiferare, care instituie prelucr ări de date cu caracter personal în scopul realiz ării activit ăţilor prev ăzute la art. 1, trebuie s ă stabileasc ă cel pu ţin următoarele aspecte:

a) contextul general al prelucr ării şi obiectivele acesteia;

b) datele cu caracter personal care urmeaz ă s ă fie prelucrate;

c) scopurile prelucr ării;

d) termenele de stocare generale şi, dup ă caz, specifice a datelor cu caracter personal.

(2) Stabilirea termenelor specifice de p ăstrare este obligatorie în urm ătoarele situa ţii:

a) prelucrarea datelor cu caracter personal ref eritoare la minori;

b) prelucrarea categoriilor speciale de date cu caracter personal;

c) prelucrarea datelor cu caracter personal a c ăror acurate ţe nu a fost stabilit ă sau nu a putut fi stabilit ă;

d) în orice alt ă situa ţie în care prelucrarea presupune riscuri majore pentru persoana vizat ă.

(3) Termenele specifice de stocare nu pot fi ma i mari decât jum ătate din termenul general de stocare corespunz ător scopului prelucr ării.

(4) La împlinirea termenelor de stocare, datele cu caracter personal pot fi:

a) arhivate în interes public în conformitate c u legisla ţia special ă;

b) stocate în eviden ţa pasiv ă pentru o durat ă care nu poate dep ăşi jum ătate din termenul ini ţial de stocare;

c) distruse sau şterse prin utilizarea unor proceduri ireversibile, dac ă nu se încadreaz ă în una dintre situa ţiile prev ăzute la lit. a) sau b).

(5) Prelucr ările de date cu caracter personal bazate pe utiliza rea noilor tehnologii sau care sunt de natur ă s ă genereze un risc ridicat pentru drepturile şi libert ăţile persoanelor fizice pot fi instituite în scopul realiz ării activit ăţilor prev ăzute la art. 1 numai în temeiul unui act normativ publicat în Monitorul Ofi cial al României, Partea I, care s ă stabileasc ă garan ţii necesar a fi instituite în

temeiul prezentei legi.

ART. 7

(1) Operatorii dispun m ăsurile necesare în scopul eviden ţierii în mod distinct şi structur ării datelor cu caracter personal, având în vedere urm ătoarele criterii:

a) date referitoare la persoane în privin ţa c ărora exist ă indicii temeinice c ă au s ăvâr şit sau c ă urmeaz ă s ă s ăvâr şeasc ă o infrac ţiune, inclusiv cele împotriva c ărora a fost dispus ă o m ăsur ă preventiv ă privativ ă de libertate;

b) date referitoare la persoane condamnate pent ru s ăvâr şirea unei infrac ţiuni sau persoane fa ţă de care s-a dispus executarea unei măsuri educative sau de siguran ţă;

c) date referitoare la persoane victime ale une i infrac ţiuni sau persoane în privin ţa c ărora exist ă motive s ă se cread ă c ă ar putea fi victimele unei infrac ţiuni;

d) date referitoare la alte persoane care au le gătur ă cu infrac ţiunea, precum persoane care ar putea fi chemate s ă depun ă mărturie în cadrul anchetelor legate de infrac ţiuni sau în cadrul procedurilor penale ulterioare sau persoane care po t oferi informa ţii cu privire la infrac ţiuni sau persoane care sunt în leg ătur ă sau asociate cu persoanele prev ăzute la lit. a) sau b).

(2) Datele cu caracter personal prelucrate în t emeiul prezentei legi sunt ordonate în func ţie de gradul lor de acurate ţe şi exactitate. În acest scop, operatorii dispun m ăsurile necesare pentru realizarea unei distinc ţii între date colectate ca urmare a constat ării unor fapte, respectiv date a c ăror colectare se bazeaz ă pe percep ţia subiectiv ă a unor persoane fizice.

(3) Operatorii dispun toate m ăsurile necesare pentru ca datele cu caracter personal inexacte, incomplete sau care nu sunt actualizate s ă nu fie transmise sau puse la dispozi ţia destinatarului.

(4) M ăsurile prev ăzute la alin. (3) includ şi evalu ări periodice în scopul asigur ării calit ăţii datelor cu caracter personal prin raportare la scopul în care au fost colectate şi sunt ulterior prelucrate.

(5) Termenele de evaluare sunt stabilite prin a cte administrative adoptate de c ătre operatori, c ărora li se asigur ă o form ă de publicitate. Frecven ţa evalu ărilor este determinat ă de scopul în care datele cu caracter personal au fost colectate, cali tatea datelor la momentul colect ării, cantitatea datelor, dac ă sunt prelucrate categorii speciale de date cu caracter personal. În cazul sistemelor automatizate de eviden ţă, termenele de evaluare nu pot dep ăşi 2 ani de la momentul colect ării, respectiv de la precedenta evaluare.

(6) Evaluarea calit ăţii datelor cu caracter personal este obligatorie înainte ca datele cu caracter personal să fie transmise sau puse la dispozi ţie altui operator.

(7) În situa ţia transmiterii de date cu caracter personal, în scopul asigur ării calit ăţii datelor, operatorul poate ad ăuga informa ţii care s ă permit ă autorit ăţii competente destinatare s ă evalueze:

a) acurate ţea datelor;

b) caracterul integral al datelor;

c) utilitatea datelor raportat la scopul preluc r ării;

d) dac ă acestea sunt actualizate.

(8) În situa ţia unei transmiteri neconforme cu legisla ţia în vigoare a unor date cu caracter personal sau în caz ul în care se constat ă c ă datele cu caracter personal nu au calitatea necesa r ă, operatorul este obligat s ă notifice de îndat ă destinatarul. Datele care au f ăcut obiectul transmiterii sunt, dup ă caz:

a) rectificate sau şterse;

b) restric ţionate la prelucrare.

(9) Restric ţionarea prelucr ării datelor cu caracter personal prev ăzut ă la alin. (8) se dispune doar în una dintre situa ţiile prev ăzute la art. 18 alin. (4).

ART. 8

(1) Datele cu caracter personal colectate în sc opul prev ăzut la art. 1 nu pot fi prelucrate în alte scopuri, cu exc epţia cazurilor prev ăzute în mod expres de lege.

(2) În situa ţiile excep ţionale prev ăzute la alin. (1), prelucr ările suplimentare de date cu caracter personal se r ealizeaz ă în conformitate cu dispozi ţiile Regulamentului general privind protec ţia datelor, cu excep ţia activit ăţilor prev ăzute la art. 3 alin. (2), situa ţie în care se aplic ă dispozi ţiile corespunz ătoare cuprinse în legi speciale.

(3) Datele cu caracter personal colectate de c ătre autorit ăţile competente în alte scopuri decât cele necesare înde plinirii activit ăţilor prev ăzute la art. 1 alin. (1) sunt prelucrate în conformitate cu dispozi ţiile Regulamentului general privind protec ţia datelor, cu excep ţia activit ăţilor prev ăzute la art. 3 alin. (2), situa ţie în care se aplic ă dispozi ţiile corespunz ătoare cuprinse în legi speciale.

(4) Dispozi ţiile alin. (3) se aplic ă inclusiv pentru prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiin ţific ă sau istoric ă ori în scopuri statistice.

ART. 9

(1) În situa ţia prelucr ării datelor cu caracter personal sub forma transferului c ătre destinatari, autoritatea competent ă care transfer ă datele cu caracter personal are obliga ţia de a informa destinatarul datelor cu caracter personal cu privire la condi ţiile specifice de prelucrare şi obliga ţia de a le respecta, în m ăsura în care astfel de condi ţii sunt impuse de lege.

(2) Destinatarul datelor cu caracter personal a re obliga ţia respect ării condi ţiilor specifice de prelucrare comunicate în conformitate cu prevederile alin. (1).

(3) În situa ţia transferului de date cu caracter personal c ătre destinatari din state membre ale Uniunii Europene s au c ătre agen ţii, oficii şi organisme instituite în conformitate cu titlul V capitolele 4 şi 5 din Tratatul privind func ţionarea Uniunii Europene, nu pot fi impuse condi ţii specifice de prelucrare, în conformitate cu

prevederile alin. (1), suplimentare fa ţă de cele prev ăzute de lege pentru transferul c ătre autorit ăţi competente din România.

ART. 10

Datele cu caracter personal care dezv ăluie originea rasial ă sau etnic ă, opiniile politice, confesiunea religioas ă sau convingerile filozofice, afilierea sindical ă, prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unic ă a unei persoane fizice, prelucrarea datelor privind s ănătatea sau a datelor privind via ţa sexual ă şi orientarea sexual ă a unei persoane fizice pot fi prelucrate numai dac ă sunt strict necesare într-un caz determinat, dac ă sunt instituite garan ţii adecvate pentru drepturile şi libert ăţile persoanei vizate şi dac ă este îndeplinit ă una dintre următoarele condi ţii:

a) prelucrarea este prev ăzut ă expres de lege;

b) prelucrarea este necesar ă pentru prevenirea unui pericol iminent cel pu ţin asupra vie ţii, integrit ăţii corporale sau s ănăt ăţii persoanei vizate sau ale unei alte persoane fizice;

c) prelucrarea se refer ă la date cu caracter personal care sunt f ăcute publice în mod manifest de persoana vizat ă.

ART. 11

(1) Adoptarea unei decizii întemeiate exclusiv pe prelucrarea automat ă, inclusiv crearea de profiluri, care produce un ef ect juridic negativ pentru persoana vizat ă sau care o afecteaz ă în mod semnificativ este interzis ă, cu excep ţia cazului în care prelucrarea este reglementat ă expres de lege, fiind prev ăzute garan ţii adecvate pentru drepturile şi libert ăţile persoanei vizate, inclusiv dreptul de a ob ţine interven ţia uman ă din partea operatorului.

(2) Prelucrarea categoriilor de date cu caracte r personal prev ăzute la art. 10 în scopul adopt ării de decizii în condi ţiile prev ăzute la alin. (1) este interzis ă, cu excep ţia situa ţiei în care sunt instituite m ăsuri corespunz ătoare pentru protejarea drepturilor, a libert ăţilor şi a intereselor legitime ale persoanei vizate.

(3) Crearea de profiluri care au drept rezultat discriminarea persoanelor fizice pe baza criteriilor ce determin ă categoriile de date prev ăzute la art. 10 este interzis ă.

ART. 12

(1) Operatorii sunt obliga ţi s ă instituie m ăsurile organizatorice, tehnice şi de procedur ă pentru a furniza persoanei vizate informa ţiile necesare potrivit prevederilor art. 13 şi art. 16-21 şi pentru a asigura transmiterea unui r ăspuns în leg ătur ă cu prelucr ările desf ăşurate în condi ţiile prev ăzute la art. 11 sau în leg ătur ă cu notificarea persoanelor vizate în cazul apari ţiei unui incident de securitate, în condi ţiile prevederilor art. 39.

(2) R ăspunsul trebuie formulat într-o form ă concis ă, inteligibil ă şi u şor accesibil ă, utilizând un limbaj clar şi simplu.

(3) Comunicarea informa ţiilor în condi ţiile prev ăzute la alin. (2) se realizeaz ă în acela şi format în care cererea a fost formulat ă, cu următoarele excep ţii:

a) identitatea solicitantului nu poate fi stabi lit ă cu exactitate,

în condi ţiile prev ăzute la alin. (10);

b) formatul ales pentru transmiterea cererii pr esupune riscuri de prelucrare neautorizat ă sau ilegal ă ori de pierdere, distrugere sau deteriorare accidental ă, prin raportare la cantitatea de date cu caracter personal, gradul de sensibilitate al infor maţiei, în special în situa ţia categoriilor de date prev ăzute la art. 10 ori a datelor referitoare la minori.

(4) Operatorul este obligat s ă instituie m ăsuri organizatorice şi de procedur ă în scopul facilit ării exercit ării drepturilor persoanei vizate în temeiul prevederilor art. 11 şi art. 16-21.

(5) Operatorul are obliga ţia de a informa persoana vizat ă, în scris, cu privire la modul de solu ţionare a cererilor formulate în temeiul prezentei legi. R ăspunsul se transmite în mod gratuit, în cel mult 60 de zile calendaristice.

(6) În cazul în care cererile din partea unei p ersoane vizate sunt în mod v ădit nefondate sau excesive, în special din cauza ca racterului lor repetitiv, operatorul poate:

a) s ă perceap ă o tax ă rezonabil ă care s ă ţin ă cont de costurile administrative pentru transmiterea sau comunicarea informa ţiilor sau pentru luarea m ăsurilor solicitate; sau

b) s ă refuze s ă dea curs cererii.

(7) Cuantumul taxei prev ăzute la alin. (6) lit. a) va fi stabilit, respectiv actualizat prin act administrativ emis la nivelul operatorului.

(8) Caracterul nefondat sau excesiv al cererii se stabile şte de la caz la caz, în func ţie de urm ătoarele criterii:

a) obiectul cererii;

b) caracterul repetitiv al cererii;

c) existen ţa unor prelucr ări suplimentare de date cu caracter personal, prin raportare la cele desf ăşurate la momentul formul ării cererii precedente.

(9) Caracterul nefondat sau excesiv al cererii, în condi ţiile prev ăzute la alin. (6), trebuie demonstrat de operator.

(10) În cazul în care identitatea persoanei car e formuleaz ă o cerere în temeiul prevederilor art. 16 sau 18 nu a putut fi stabilit ă cu exactitate, operatorul îi solicit ă acesteia informa ţii suplimentare necesare pentru confirmarea identit ăţii.

(11) Informa ţiile suplimentare colectate potrivit prevederilor alin. (10) nu pot fi prelucrate în niciun alt scop decât pentru confirmarea identit ăţii şi se distrug în termen de 3 ani de la colectare. Operatorul poate stabili termene de p ăstrare mai mici.

ART. 13

Operatorii sunt obliga ţi s ă instituie m ăsuri organizatorice, tehnice şi de procedur ă în scopul punerii la dispozi ţia persoanelor interesate a urm ătoarelor categorii de informa ţii:

a) identitatea şi datele de contact ale operatorului;

b) datele de contact ale responsabilului cu pro tec ţia datelor, după caz;

c) scopurile în care sunt prelucrate datele cu caracter personal;

d) dreptul de a depune o plângere la autoritate a de supraveghere şi datele de contact ale acesteia;

e) dreptul de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizat ă ori rectificarea sau ştergerea acestor date sau restric ţionarea prelucr ării lor.

ART. 14

La cerere, atunci când legea nu prevede altfel, operatorul comunic ă persoanei vizate informa ţiile prev ăzute la art. 13, precum şi următoarele informa ţii suplimentare:

a) temeiul juridic al prelucr ării;

b) perioada pentru care sunt stocate datele cu caracter personal sau, în cazul în care nu este posibil, criteriile u tilizate pentru a stabili perioada respectiv ă;

c) dac ă este cazul, categoriile de destinatari ai datelor cu caracter personal, inclusiv din state ter ţe sau organiza ţii interna ţionale;

d) orice alte informa ţii suplimentare, în func ţie de specificul activit ăţilor de prelucrare, în special atunci când datele c u caracter personal sunt colectate f ăr ă ştirea persoanei vizate.

ART. 15

(1) Operatorul poate dispune, dup ă caz, m ăsura amân ării, restric ţion ării sau omiterii furniz ării de informa ţii persoanei vizate în condi ţiile prev ăzute la art. 14 numai dac ă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei vizate, o astfel de m ăsur ă este necesar ă şi propor ţional ă într-o societate democratic ă pentru:

a) evitarea obstruc ţion ării bunei desf ăşur ări a procesului penal;

b) evitarea prejudicierii prevenirii, descoperi rii, cercet ării, urmăririi penale şi combaterii infrac ţiunilor sau a execut ării pedepselor;

c) protejarea ordinii şi siguran ţei publice;

d) protejarea securit ăţii na ţionale;

e) protejarea drepturilor şi libert ăţilor celorlal ţi.

(2) M ăsura amân ării furniz ării de informa ţii se dispune pe o perioad ă ce nu poate dep ăşi un an, în situa ţia în care inciden ţa condi ţiilor care fac imposibil ă comunicarea este limitat ă în timp. Măsura amân ării poate fi prelungit ă în interiorul termenului de un an. La împlinirea termenului pentru care m ăsura amân ării furniz ării de informa ţii a fost dispus ă, operatorul transmite informa ţiile prev ăzute de lege.

(3) Persoana vizat ă este informat ă în scris, în cel mult 60 de zile calendaristice de la înregistrarea solicit ării, cu privire la măsura amân ării furniz ării de informa ţii şi motivul dispunerii acesteia, cu privire la termenul pentru care a fost dispus ă aceast ă măsur ă, precum şi cu privire la faptul c ă se poate adresa autorit ăţii de supraveghere cu plângere împotriva deciziei oper atorului sau poate ataca în instan ţă decizia operatorului.

(4) M ăsura restric ţion ării furniz ării de informa ţii se dispune în

situa ţia în care inciden ţa condi ţiilor care fac imposibil ă comunicarea nu este limitat ă în timp. În situa ţia restric ţion ării furniz ării de informa ţii, operatorul transmite persoanei vizate un r ăspuns. Forma şi con ţinutul r ăspunsului sunt stabilite de fiecare operator în par te.

(5) M ăsura omisiunii furniz ării de informa ţii se dispune în situa ţia în care chiar şi simpla informare a persoanei vizate cu privire la una sau mai multe opera ţiuni de prelucrare este de natur ă să afecteze una dintre activit ăţile prev ăzute la alin. (1) lit. a)-d).

(6) Omisiunea furniz ării de informa ţii poate s ă fie par ţial ă sau total ă. În situa ţia omisiunii par ţiale, persoana vizat ă este informat ă, în termen de cel mult 60 de zile calendaristice d e la înregistrarea solicit ării, cu privire la categoriile de prelucr ări care nu sunt de natur ă a afecta activit ăţile prev ăzute la alin. (1). În situa ţia omisiunii totale, operatorul transmite persoanei vizate un r ăspuns. Forma şi con ţinutul r ăspunsului sunt stabilite de fiecare operator în parte.

(7) Operatorul este obligat s ă ţin ă eviden ţa situa ţiilor în care a fost dispus ă măsura omiterii furniz ării de informa ţii şi s ă documenteze adoptarea acestei m ăsuri.

(8) În luna ianuarie a fiec ărui an, operatorul are obliga ţia de a informa autoritatea de supraveghere cu privire la s itua ţia statistic ă a măsurilor de omisiune a furniz ării de informa ţii adoptate în anul precedent, defalcat pentru fiecare dintre activit ăţile prev ăzute la alin. (1) lit. a)-d).

ART. 16

(1) Persoana vizat ă are dreptul de a ob ţine de la operator, la cerere şi în mod gratuit, confirmarea faptului c ă datele cu caracter personal care o privesc sunt sau nu sunt prelucrate de acesta.

(2) Operatorul este obligat, în situa ţia în care prelucreaz ă date cu caracter personal care privesc persoana vizat ă, s ă comunice acesteia, în termen de cel mult 60 de zile calendar istice de la înregistrarea solicit ării, în condi ţiile prev ăzute la art. 12 alin. (2) şi (3), pe lâng ă confirmare, inclusiv datele cu caracter personal care fac obiectul prelucr ării, precum şi urm ătoarele informa ţii:

a) scopurile şi temeiul juridic al prelucr ării;

b) categoriile de date cu caracter personal viz ate;

c) destinatarii sau categoriile de destinatari cărora le-au fost divulgate datele cu caracter personal, în special d estinatarii din state ter ţe sau organiza ţii interna ţionale;

d) acolo unde este posibil, perioada pentru car e se preconizeaz ă că vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate p entru a stabili aceast ă perioad ă;

e) dreptul de a solicita de la operator rectifi carea sau ştergerea datelor cu caracter personal sau restric ţionarea prelucr ării datelor cu caracter personal referitoare la persoana vizat ă;

f) dreptul de a depune o plângere la autoritate a de supraveghere şi datele de contact ale acesteia;

g) comunicarea datelor cu caracter personal car e sunt în curs de prelucrare şi a oric ărei informa ţii disponibile cu privire la originea datelor cu caracter personal.

ART. 17

(1) Dispozi ţiile art. 16 nu se aplic ă dac ă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei fizice, o astfel de m ăsur ă este necesar ă şi propor ţional ă într-o societate democratic ă pentru:

a) evitarea obstruc ţion ării bunei desf ăşur ări a procesului penal;

b) evitarea prejudicierii prevenirii, descoperi rii, cercet ării, urmăririi penale şi combaterii infrac ţiunilor sau a execut ării pedepselor;

c) protejarea ordinii şi siguran ţei publice;

d) protejarea securit ăţii na ţionale;

e) protejarea drepturilor şi libert ăţilor celorlal ţi.

(2) M ăsura limit ării dreptului de acces poate s ă fie total ă sau par ţial ă şi se dispune cu privire la una sau mai multe opera ţiuni de prelucrare în situa ţia c ărora dezv ăluirea este de natur ă s ă afecteze una dintre activit ăţile prev ăzute la alin. (1).

(3) În situa ţia prev ăzut ă la alin. (2), persoana vizat ă poate fi informat ă cu privire la categoriile de prelucr ări care nu sunt de natur ă a afecta activit ăţile prev ăzute la alin. (1), motivul adopt ării acestei m ăsuri, precum şi cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a se adresa instan ţei.

(4) Prin excep ţie de la dispozi ţiile alin. (3), motivul adopt ării măsurii de limitare a dreptului de acces nu se comuni că în situa ţia în care dezv ăluirea acestuia este de natur ă s ă afecteze una dintre activit ăţile prev ăzute la alin. (1) lit. a)-d).

(5) Operatorul este obligat s ă ţin ă eviden ţa cazurilor în care a fost dispus ă măsura de limitare a dreptului de acces şi s ă documenteze adoptarea acestei m ăsuri.

(6) În luna ianuarie a fiec ărui an, operatorul are obliga ţia de a informa autoritatea de supraveghere cu privire la s itua ţia statistic ă a cazurilor în care a fost adoptat ă măsura de limitare a dreptului de acces în anul precedent, defalcat pentru fiecare di ntre activit ăţile prev ăzute la alin. (1).

ART. 18

(1) Persoana vizat ă are dreptul de a ob ţine de la operator, la cerere şi în mod gratuit, rectificarea datelor cu caracter personal inexacte care o privesc.

(2) Persoana vizat ă are dreptul de a solicita completarea datelor cu caracter personal care o privesc, inclusiv prin furnizarea unei declara ţii suplimentare.

(3) Operatorul are obliga ţia de a şterge, prin proceduri ireversibile, din oficiu sau la cererea persoanei v izate, datele cu caracter personal a c ăror prelucrare nu este conform ă dispozi ţiilor art. 1 alin. (2), art. 5 sau 10 ori care trebuie şterse în virtutea îndeplinirii unei obliga ţii prev ăzute expres de lege.

(4) Operatorul are obliga ţia de a restric ţiona prelucrarea datelor cu caracter personal, şi nu de a le şterge, în cazul în care este incident ă una dintre urm ătoarele situa ţii:

a) exactitatea datelor cu caracter personal est e contestat ă de

persoana vizat ă, iar exactitatea sau inexactitatea datelor respect ive nu poate fi stabilit ă cu certitudine;

b) datele cu caracter personal trebuie s ă fie p ăstrate ca mijloace de prob ă.

(5) Operatorul este obligat s ă comunice persoanei vizate, în condi ţiile art. 12 alin. (2)-(4), în termen de cel mult 6 0 de zile calendaristice de la înregistrarea solicit ării, confirmarea sau, dup ă caz, infirmarea solu ţion ării cererilor formulate potrivit prevederilor alin. (1), (2) sau (3), motivele pe care se întemei ază măsura infirm ării, precum şi faptul c ă se poate adresa cu plângere la autoritatea de supraveghere sau poate ataca în inst anţă decizia operatorului.

(6) Termenul prev ăzut la alin. (5) poate fi prelungit cu pân ă la 60 de zile calendaristice, în m ăsura în care solu ţionarea cererilor necesit ă proceduri complexe, în special consultarea unor au torit ăţi competente din str ăin ătate. Persoana vizat ă este informat ă cu privire la prelungirea termenului înainte de expirarea term enului ini ţial.

(7) Ridicarea restric ţion ării prelucr ării instituite potrivit prevederilor alin. (4) lit. a) se realizeaz ă de c ătre operator, concomitent cu notificarea persoanei vizate cu priv ire la m ăsura adoptat ă.

(8) Dispozi ţiile alin. (5) nu se aplic ă dac ă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei fizice, o astfel de m ăsur ă este necesar ă şi propor ţional ă într-o societate democratic ă pentru:

a) a evita obstruc ţionarea bunei desf ăşur ări a procesului penal;

b) a nu prejudicia prevenirea, descoperirea, ce rcetarea, urm ărirea penal ă şi combaterea infrac ţiunilor sau executarea pedepselor;

c) a proteja ordinea şi siguran ţa public ă;

d) a proteja securitatea na ţional ă;

e) a proteja drepturile şi libert ăţile celorlal ţi.

ART. 19

(1) În situa ţia rectific ării datelor cu caracter personal potrivit prevederilor art. 18 alin. (1), operatorul are obli gaţia s ă verifice modul în care acestea au fost colectate.

(2) În cazul în care datele cu caracter persona l au fost colectate prin transfer de la o autoritate competent ă, operatorul are obliga ţia să transmit ă acesteia o notificare cu privire la rectificarea d atelor.

(3) În situa ţia rectific ării, ştergerii ori restric ţion ării datelor cu caracter personal potrivit prevederilor art. 18 alin. (1), (3) sau (4), operatorul are obliga ţia s ă verifice dac ă acestea au fost transmise unui destinatar anterior rectific ării.

(4) În cazul în care datele cu caracter persona l au fost transmise unui destinatar anterior rectific ării, operatorul are obliga ţia s ă transmit ă acestuia o notificare cu privire la rectificarea, ştergerea ori restric ţionarea prelucr ării datelor cu caracter personal, dup ă caz.

(5) Destinatarul situat pe teritoriul României ori c ăruia i se aplic ă legea român ă are obliga ţia de a dispune o m ăsur ă similar ă celei cu privire la care a fost notificat, cu excep ţia inciden ţei, în cazul

ştergerii ori restric ţion ării datelor cu caracter personal, a uneia dintre urm ătoarele situa ţii:

a) datele sunt necesare pentru prevenirea, desc operirea, cercetarea, urm ărirea penal ă şi combaterea infrac ţiunilor ori executarea pedepselor, altele decât cele pentru car e au fost transmise;

b) datele sunt necesare pentru derularea altor proceduri judiciare sau administrative direct legate de prevenirea, des coperirea, cercetarea, urm ărirea penal ă şi combaterea infrac ţiunilor ori executarea pedepselor;

c) datele sunt necesare pentru prevenirea unui pericol iminent şi grav la adresa ordinii şi siguran ţei publice.

(6) În situa ţia inciden ţei vreuneia dintre situa ţiile prev ăzute la alin. (5) lit. a)-c), persoana vizat ă este informat ă cu aplicarea, după caz, a dispozi ţiilor art. 14, cu privire la m ăsura adoptat ă, motivele pe care se întemeiaz ă măsura infirm ării, precum şi cu privire la faptul c ă se poate adresa cu plângere autorit ăţii de supraveghere sau poate ataca în instan ţă decizia operatorului.

ART. 20

(1) În situa ţiile prev ăzute la art. 15, art. 17 alin. (3) sau art. 19 alin. (6), persoana vizat ă se poate adresa autorit ăţii de supraveghere pentru exercitarea drepturilor prev ăzute de lege.

(2) Operatorul are obliga ţia de a informa persoana vizat ă cu privire la posibilitatea prev ăzut ă la alin. (1).

(3) În situa ţia prev ăzut ă la alin. (1), autoritatea de supraveghere întreprinde m ăsurile necesare potrivit atribu ţiilor sale legale.

(4) Autoritatea de supraveghere informeaz ă persoana vizat ă cu privire la aspectele constatate, precum şi cu privire la posibilitatea de a se adresa instan ţei de judecat ă.

ART. 21

Art. 13, 16 şi 18 se aplic ă inclusiv în cazul în care datele cu caracter personal sunt cuprinse în hot ărâri judec ătore şti, în cazierul judiciar sau în cadrul procesului penal, cu excep ţia situa ţiilor expres prev ăzute de lege.

ART. 22

(1) Operatorul, ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucr ării, precum şi de gradul de ingerin ţă în drepturile şi libert ăţile persoanelor fizice, este obligat s ă aplice m ăsurile tehnice şi organizatorice adecvate pentru a asigura şi a fi în m ăsur ă s ă demonstreze efectuarea prelucr ării în conformitate cu prezenta lege.

(2) M ăsurile adoptate potrivit prevederilor alin. (1) tre buie s ă fie propor ţionale cu opera ţiunile de prelucrare realizate de c ătre operator şi includ politici corespunz ătoare de protec ţie a datelor cu caracter personal.

ART. 23

(1) În scopul punerii în aplicare în mod eficie nt a principiilor

de protec ţie a datelor cu caracter personal, precum şi pentru reducerea la minimum a prelucr ărilor de date cu caracter personal, dar şi în scopul integr ării garan ţiilor necesare în cadrul prelucr ării, pentru a îndeplini cerin ţele prezentei legi şi pentru a proteja drepturile persoanelor vizate, operatorul este obli gat ca, la momentul stabilirii mijloacelor de prelucrare, precum şi la cel al prelucr ării efective, s ă pun ă în aplicare m ăsuri tehnice şi organizatorice adecvate, având în vedere:

a) stadiul actual al tehnologiei;

b) costurile de punere în aplicare;

c) natura, domeniul de aplicare, contextul şi scopurile prelucr ării;

d) riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libert ăţilor persoanelor fizice pe care le prezint ă prelucrarea.

(2) Pentru îndeplinirea obiectivelor prev ăzute la alin. (1), operatorul evalueaz ă, la momentul stabilirii mijloacelor de prelucrare, în scopul identific ării m ăsurilor tehnice şi organizatorice adecvate, cel pu ţin posibilitatea introducerii unei solu ţii de pseudonimizare ori a unei alte solu ţii tehnice cu efect similar.

(3) Operatorul are obliga ţia de a pune în aplicare m ăsuri tehnice şi organizatorice adecvate prin care s ă se asigure c ă, în mod implicit, sunt prelucrate numai date cu caracter pe rsonal care sunt necesare pentru fiecare scop specific al prelucr ării.

(4) Obliga ţia prev ăzut ă la alin. (3) vizeaz ă:

a) volumul de date cu caracter personal colecta te;

b) gradul de prelucrare a acestora;

c) perioada de stocare;

d) accesibilitatea acestora.

(5) Prin m ăsurile dispuse potrivit prevederilor alin. (3) şi (4), operatorul trebuie s ă se asigure c ă datele cu caracter personal nu sunt accesibile, f ăr ă interven ţie uman ă, unui num ăr nedefinit de utilizatori.

ART. 24

(1) Operatorii asocia ţi se desemneaz ă printr-un act normativ, în cuprinsul c ăruia se stabilesc, în comun, scopurile şi mijloacele de prelucrare a datelor cu caracter personal.

(2) Actul normativ prev ăzut la alin. (1) trebuie s ă cuprind ă o delimitare a responsabilit ăţilor ce revin fiec ăruia dintre operatorii asocia ţi în condi ţiile prezentei legi.

(3) Actul normativ prev ăzut la alin. (1) trebuie s ă cuprind ă cel puţin urm ătoarele aspecte:

a) modalitatea de exercitare a drepturilor pers oanelor vizate, în raport cu oricare dintre operatori;

b) îndatoririle fiec ăruia dintre operatorii asocia ţi cu privire la furnizarea informa ţiilor prev ăzute la art. 13;

c) punctul de contact unic pentru persoanele vi zate.

(4) În situa ţia în care scopurile şi mijloacele de prelucrare nu

sunt stabilite prin act normativ, responsabilit ăţile ce revin în condi ţiile prezentei legi operatorilor asocia ţi pot fi stabilite prin intermediul unui act juridic. Acesta trebuie s ă cuprind ă elementele prev ăzute la alin. (3) şi este supus obliga ţiei de punere la dispozi ţia persoanelor vizate. Obliga ţia de punere la dispozi ţie trebuie îndeplinit ă cu minimum 5 zile înainte de intrarea în vigoare a respectivului act juridic.

ART. 25

(1) Desemnarea persoanelor împuternicite de c ătre operator este posibil ă doar dac ă exist ă suficiente garan ţii pentru punerea în aplicare a m ăsurilor tehnice şi organizatorice adecvate, astfel încât prelucrarea s ă îndeplineasc ă cerin ţele prezentei legi şi s ă asigure protec ţia drepturilor persoanei vizate.

(2) Desemnarea, de c ătre o persoan ă împuternicit ă de c ătre operator, a unei alte persoane împuternicite în sco pul realiz ării uneia sau mai multor opera ţiuni de prelucrare nu este posibil ă decât cu acordul scris al operatorului. Acordul scris poa te fi emis doar dac ă sunt îndeplinite condi ţiile prev ăzute la alin. (1).

(3) Persoana împuternicit ă de c ătre operator are obliga ţia de a informa operatorul cu privire la orice modific ări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de c ătre operator.

(4) Desemnarea prev ăzut ă la alin. (1) sau, dup ă caz, alin. (2) se realizeaz ă prin intermediul unui contract sau protocol închei at între păr ţi, care trebuie s ă detalieze:

a) obiectul şi durata prelucr ării;

b) natura şi scopul prelucr ării;

c) tipul de date cu caracter personal şi categoriile de persoane vizate;

d) obliga ţiile şi drepturile operatorului.

(5) Protocolul sau, dup ă caz, contractul prev ăzut la alin. (4) se pune la dispozi ţia persoanelor vizate şi trebuie s ă stabileasc ă în sarcina persoanei împuternicite de c ătre operator urm ătoarele obliga ţii:

a) s ă ac ţioneze numai la instruc ţiunile operatorului;

b) s ă garanteze faptul c ă persoanele autorizate s ă prelucreze date cu caracter personal s-au angajat s ă respecte confiden ţialitatea sau au o obliga ţie legal ă de confiden ţialitate corespunz ătoare;

c) s ă asiste operatorul prin orice mijloace adecvate pen tru a asigura respectarea dispozi ţiilor privind drepturile persoanei vizate;

d) s ă ştearg ă sau s ă returneze, din dispozi ţia operatorului, toate datele cu caracter personal dup ă încetarea furniz ării serviciilor de prelucrare a datelor cu caracter personal şi s ă elimine copiile existente, cu excep ţia cazului în care exist ă o dispozi ţie legal ă expres ă care îl abiliteaz ă s ă stocheze în continuare datele;

e) s ă pun ă la dispozi ţia operatorului toate informa ţiile necesare pentru a demonstra respectarea dispozi ţiilor prezentului articol;

f) s ă respecte condi ţiile prev ăzute la alin. (2)-(4) pentru recrutarea unei alte persoane împuternicite de c ătre operator.

(6) Protocolul sau, dup ă caz, contractul prev ăzut la alin. (4)

poate fi pus la dispozi ţia persoanelor vizate, la cerere, în format electronic.

(7) Persoana împuternicit ă de c ătre operator este considerat ă operator în cazul în care, prin înc ălcarea dispozi ţiilor prezentei legi, aceasta stabile şte scopurile şi mijloacele de prelucrare pentru datele cu caracter personal puse la dispozi ţie de c ătre operator.

(8) În situa ţia prev ăzut ă la alin. (7), operatorul este exonerat de r ăspundere numai în situa ţia în care demonstreaz ă c ă persoana împuternicit ă de operator a ac ţionat cu rea-credin ţă.

ART. 26

(1) Se interzice persoanei împuternicite de c ătre operator s ă prelucreze datele cu caracter personal cu dep ăşirea instruc ţiunilor primite de la operator, cu excep ţia situa ţiilor prev ăzute expres de lege.

(2) Orice persoan ă care ac ţioneaz ă sub autoritatea operatorului sau a persoanei împuternicite de c ătre operator, care are acces la date cu caracter personal, nu poate s ă le prelucreze decât pe baza instruc ţiunilor operatorului, cu excep ţia situa ţiilor prev ăzute expres de lege.

ART. 27

(1) Operatorul este obligat s ă ţin ă eviden ţa tuturor categoriilor de activit ăţi de prelucrare aflate în responsabilitatea sa.

(2) Eviden ţa prev ăzut ă la alin. (1) cuprinde urm ătoarele informa ţii:

a) denumirea şi datele de contact ale operatorului şi, dup ă caz, ale operatorului asociat şi ale responsabilului cu protec ţia datelor;

b) scopul sau scopurile prelucr ării;

c) categoriile de destinatari c ărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv des tinatarii din ţări ter ţe sau organiza ţii interna ţionale;

d) o descriere a categoriilor de persoane vizat e şi a categoriilor de date cu caracter personal care sunt prelucrate;

e) dac ă este cazul, men ţiuni cu privire la desf ăşurarea activit ăţii de creare de profiluri;

f) dac ă este cazul, categoriile de transferuri de date cu caracter personal c ătre un stat ter ţ sau o organiza ţie interna ţional ă;

g) indicarea temeiului juridic al opera ţiunii de prelucrare, inclusiv al transferurilor de date cu caracter pers onal efectuate;

h) dac ă este posibil, termenele-limit ă preconizate pentru ştergerea diferitelor categorii de date cu caracter personal;

i) dac ă este posibil, o descriere general ă a m ăsurilor tehnice şi organizatorice de securitate men ţionate la art. 35.

ART. 28

(1) Persoana împuternicit ă de c ătre operator este obligat ă s ă ţin ă eviden ţa tuturor categoriilor de activit ăţi de prelucrare aflate în responsabilitatea sa.

(2) Eviden ţa prev ăzut ă la alin. (1) cuprinde urm ătoarele informa ţii:

a) numele şi datele de contact ale persoanei sau persoanelor

împuternicite de c ătre operator, ale fiec ărui operator în numele căruia ac ţioneaz ă aceast ă persoan ă şi, dup ă caz, cele ale responsabilului cu protec ţia datelor cu caracter personal;

b) categoriile de activit ăţi de prelucrare desf ăşurate în numele fiec ărui operator;

c) dup ă caz, transferurile de date cu caracter personal c ătre un stat ter ţ sau c ătre o organiza ţie interna ţional ă, inclusiv indicarea statului ter ţ sau a organiza ţiei interna ţionale respective, atunci când au primit instruc ţiuni explicite în acest sens de la operator;

d) dac ă este posibil, o descriere general ă a m ăsurilor tehnice şi organizatorice de securitate men ţionate la art. 35.

ART. 29

(1) Eviden ţele prev ăzute la art. 27 şi 28 se p ăstreaz ă în format hârtie şi în format electronic.

(2) Operatorul şi persoana împuternicit ă de c ătre operator au obliga ţia de a pune la dispozi ţia autorit ăţii de supraveghere, la solicitarea acesteia, eviden ţele prev ăzute la art. 27 şi 28.

ART. 30

(1) Operatorul sau persoana împuternicit ă de c ătre operator este obligat/obligat ă s ă înregistreze, în cadrul sistemelor de prelucrare automat ă, toate opera ţiunile de prelucrare a datelor cu caracter personal.

(2) Înregistr ările prev ăzute la alin. (1) trebuie s ă con ţin ă cel puţin urm ătoarele informa ţii:

a) tipul opera ţiunii de prelucrare;

b) codul de identificare a utilizatorului şi a sta ţiei de lucru folosite;

c) numele fi şierului accesat;

d) num ărul opera ţiunilor de prelucrare efectuate;

e) codul opera ţiei executate sau programul folosit;

f) data accesului - an, lun ă, zi, cu precizarea inclusiv a orei şi minutului la care a fost efectuat ă prelucrarea.

(3) În cazul opera ţiunilor de prelucrare sub forma consult ării sau divulg ării este obligatorie înregistrarea motivului preluc r ării care trebuie s ă permit ă identificarea documentului/situa ţiei concrete care a stat la baz ă şi a justificat prelucrarea datelor cu caracter personal şi, dup ă caz, a destinatarilor datelor cu caracter personal .

(4) Înregistr ările prev ăzute la alin. (1) pot fi utilizate doar în următoarele situa ţii:

a) verificarea legalit ăţii prelucr ării;

b) monitorizare proprie realizat ă de c ătre operator sau, dup ă caz, de c ătre persoana împuternicit ă de c ătre operator;

c) asigurarea integrit ăţii şi a securit ăţii datelor cu caracter personal;

d) în cadrul unor proceduri penale, în condi ţiile şi cu restric ţiile impuse de lege.

(5) Responsabilul cu protec ţia datelor cu caracter personal, în realizarea atribu ţiilor sale, are acces la înregistr ările prev ăzute la

alin. (1).

(6) Înregistr ările prev ăzute la alin. (1) se pun la dispozi ţia autorit ăţii de supraveghere, la cererea acesteia.

ART. 31

Operatorul sau, dup ă caz, persoana împuternicit ă de c ătre operator este obligat ă s ă coopereze cu autoritatea de supraveghere, la cerer ea acesteia, şi s ă dispun ă orice m ăsur ă necesar ă îndeplinirii sarcinilor acesteia.

ART. 32

(1) În situa ţia în care se inten ţioneaz ă introducerea unei noi prelucr ări de date cu caracter personal, în special în situ aţia în care aceasta implic ă utilizarea de noi tehnologii, operatorul este obligat s ă evalueze urm ătoarele aspecte ale prelucr ării:

a) natura datelor cu caracter personal prelucra te;

b) domeniul de aplicare;

c) contextul şi scopurile prelucr ării.

(2) În m ăsura în care prelucrarea prev ăzut ă la alin. (1) este susceptibil ă s ă genereze un risc ridicat la adresa drepturilor şi libert ăţilor persoanelor fizice, operatorul este obligat ca înaintea prelucr ării s ă efectueze o evaluare a impactului opera ţiunilor de prelucrare preconizate asupra datelor cu caracter p ersonal.

(3) Pentru opera ţiunile de prelucrare existente, operatorii sunt obliga ţi s ă realizeze evaluarea prev ăzut ă la alin. (1) şi, dup ă caz, evaluarea impactului opera ţiunilor de prelucrare prev ăzut ă la alin. (2) în termen de 2 ani de la intrarea în vigoare a prezentei legi.

(4) Evaluarea impactului opera ţiunilor de prelucrare prev ăzut ă la alin. (2) cuprinde cel pu ţin urm ătoarele:

a) descrierea general ă a opera ţiunilor de prelucrare preconizate;

b) evaluarea riscurilor la adresa drepturilor şi libert ăţilor persoanelor vizate;

c) m ăsurile preconizate în vederea abord ării riscurilor;

d) garan ţiile, m ăsurile de securitate şi mecanismele menite s ă asigure protec ţia datelor cu caracter personal şi s ă demonstreze respectarea dispozi ţiilor prezentei legi, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale celorlalte persoane interesate.

ART. 33

(1) Operatorul sau, dup ă caz, persoana împuternicit ă de c ătre operator este obligat/obligat ă s ă consulte autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de eviden ţă a datelor, în situa ţiile în care:

a) evaluarea impactului asupra protec ţiei datelor cu caracter personal prev ăzut ă la art. 32 indic ă faptul c ă prelucrarea ar genera un risc ridicat în absen ţa măsurilor luate de operator pentru atenuarea riscului;

b) tipul de prelucrare, în special în cazul în care se utilizeaz ă noi tehnologii, mecanisme sau proceduri, implic ă un risc ridicat la adresa drepturilor şi libert ăţilor persoanelor vizate.

(2) În cadrul procedurilor de elaborare a proie ctelor de acte normative care reglementeaz ă prelucr ări de date cu caracter personal sau în baza c ărora vor fi realizate astfel de prelucr ări este obligatorie consultarea autorit ăţii de supraveghere.

(3) Autoritatea de supraveghere este abilitat ă s ă stabileasc ă o list ă a opera ţiunilor de prelucrare care fac obiectul consult ării prealabile prev ăzute la alin. (1).

(4) Operatorul sau, dup ă caz, persoana împuternicit ă de c ătre operator transmite autorit ăţii de supraveghere, în termen de 30 de zile calendaristice de la finalizare, dar înainte d e începerea prelucr ării, evaluarea prev ăzut ă la art. 32.

(5) La cererea autorit ăţii de supraveghere, operatorul sau, dup ă caz, persoana împuternicit ă de c ătre operator pune la dispozi ţia acesteia orice informa ţie în scopul evalu ării conformit ăţii prelucr ării şi a riscurilor la adresa protec ţiei datelor cu caracter personal ale persoanei vizate şi a garan ţiilor aferente.

ART. 34

(1) În cazul în care autoritatea de supravegher e constat ă c ă opera ţiunile de prelucrare pentru care este consultat ă potrivit prevederilor art. 33 încalc ă dispozi ţiile prezentei legi, în special în cazul în care riscul nu a fost identificat sau a tenuat într-o măsur ă suficient ă de c ătre operator, aceasta formuleaz ă şi transmite operatorului sau, dup ă caz, persoanei împuternicite de c ătre operator observa ţii sau recomand ări, în termen de cel mult 30 de zile lucr ătoare de la data înregistr ării cererii de consultare.

(2) În func ţie de complexitatea prelucr ării preconizate, termenul prev ăzut la alin. (1) poate fi prelungit cu 20 de zile l ucr ătoare. Autoritatea de supraveghere informeaz ă operatorul şi, dup ă caz, persoana împuternicit ă de c ătre operator, în termen de 20 de zile lucr ătoare de la înregistrarea cererii de consultare, cu privire la prelungirea termenului, inclusiv cu privire la moti vele acesteia.

(3) Dreptul autorit ăţii de supraveghere de a formula observa ţii sau recomand ări, în situa ţia prev ăzut ă la alin. (1), nu afecteaz ă în niciun fel exercitarea oric ăreia dintre competen ţele acesteia prev ăzute în Legea nr. 102/2005, cu modific ările şi complet ările ulterioare.

ART. 35

(1) Operatorul sau, dup ă caz, persoana împuternicit ă de c ătre operator implementeaz ă măsuri tehnice şi organizatorice adecvate în vederea asigur ării unui nivel de securitate corespunz ător.

(2) La stabilirea nivelului de securitate cores punz ător, operatorul sau, dup ă caz, persoana împuternicit ă de acesta are în vedere stadiul actual al tehnologiei şi costurile implement ării şi ţine seama de natura, domeniul de aplicare, contextu l şi scopurile prelucr ării, precum şi de gradul de ingerin ţă asupra drepturilor şi libert ăţilor persoanelor fizice, în special cu privire la p relucrarea categoriilor speciale de date cu caracter personal prev ăzute la art. 10.

(3) În situa ţia prelucr ărilor prin mijloace automate, operatorul sau, dup ă caz, persoana împuternicit ă de c ătre operator este obligat ă

să realizeze o evaluare a riscurilor incidente preluc r ărilor preconizate.

(4) În urma evalu ării prev ăzute la alin. (3), operatorul sau, dup ă caz, persoana împuternicit ă de c ătre operator are obliga ţia punerii în aplicare a m ăsurilor menite:

a) s ă asigure controlul accesului la echipamentele de pr elucrare utilizate pentru prelucrare, denumit în continuare controlul accesului la echipamente;

b) s ă asigure controlul asupra suporturilor de date, în scopul împiedic ării oric ărei citiri, copieri, modific ări sau elimin ări neautorizate a acestora, denumit în continuare cont rolul suporturilor de date;

c) s ă asigure controlul asupra introducerii de date cu c aracter personal, precum şi asupra inspect ării, modific ării sau ştergerii neautorizate a datelor cu caracter personal stocate , denumit în continuare controlul stoc ării;

d) s ă asigure controlul asupra utiliz ării sistemelor de prelucrare automat ă cu ajutorul echipamentelor de comunicare a datelor , denumit în continuare controlul utilizatorului;

e) s ă asigure faptul c ă persoanele autorizate au acces numai la datele cu caracter personal pentru care au autoriza re, denumit în continuare controlul accesului la date;

f) s ă asigure c ă sunt posibile verificarea şi identificarea organismelor c ărora le-au fost transmise sau puse la dispozi ţie sau s-ar putea s ă le fie transmise sau puse la dispozi ţie date cu caracter personal utilizându-se echipamente de comunicare a datelor, denumit în continuare controlul comunic ării;

g) s ă asigure c ă este posibil ca ulterior s ă se verifice şi s ă se identifice datele cu caracter personal introduse în sistemele de prelucrare automat ă, momentul introducerii datelor cu caracter personal şi entitatea care le-a introdus, denumit în continua re controlul introducerii datelor;

h) s ă împiedice citirea, copierea, modificarea sau ştergerea neautorizat ă a datelor cu caracter personal în timpul transferu rilor de date cu caracter personal sau în timpul transpor t ării suporturilor de date, denumit în continuare controlul transport ării;

i) s ă asigure posibilitatea recuper ării sistemelor instalate în cazul unei întreruperi, denumit ă în continuare recuperarea;

j) s ă asigure func ţionarea, fiabilitatea şi integritatea sistemului, prin instituirea de m ăsuri de raportare a defec ţiunilor de func ţionare, precum şi de asigurare a imposibilit ăţii coruperii datelor cu caracter personal stocate din cauza func ţion ării defectuoase a sistemului.

ART. 36

(1) În cazul în care operatorul constat ă o înc ălcare a securit ăţii datelor, notific ă f ăr ă întârzieri nejustificate autoritatea de supraveghere.

(2) În func ţie de complexitatea înc ălc ării securit ăţii, notificarea prev ăzut ă la alin. (1) se transmite nu mai târziu de 72 de ore. În aceast ă situa ţie, operatorul este obligat s ă transmit ă şi o

justificare a întârzierii. Termenul începe s ă curg ă de la momentul la care operatorul a luat cuno ştin ţă despre înc ălcarea securit ăţii datelor cu caracter personal.

(3) Notificarea prev ăzut ă la alin. (1) nu este necesar ă în cazul în care înc ălcarea securit ăţii datelor cu caracter personal nu este susceptibil ă s ă genereze un risc la adresa drepturilor şi libert ăţilor persoanelor fizice.

(4) Persoana împuternicit ă de c ătre operator are obliga ţia s ă informeze operatorul, f ăr ă întârzieri nejustificate, cu privire la existen ţa unei înc ălc ări a securit ăţii datelor cu caracter personal.

(5) Operatorul are obliga ţia s ă implementeze toate m ăsurile necesare pentru a se asigura c ă persoana împuternicit ă de c ătre operator respect ă şi îndepline şte obliga ţiile ce îi revin potrivit prevederilor alin. (4).

(6) Notificarea prev ăzut ă la alin. (1) trebuie s ă con ţin ă cel puţin urm ătoarele informa ţii:

a) o descriere a naturii înc ălc ării securit ăţii datelor cu caracter personal, inclusiv, acolo unde este posibi l, categoriile şi numărul aproximativ de persoane vizate în cauz ă, precum şi categoriile şi num ărul aproximativ de înregistr ări de date cu caracter personal în cauz ă;

b) numele şi datele de contact ale responsabilului cu protec ţia datelor sau un alt punct de contact de unde se pot obţine mai multe informa ţii;

c) descrierea consecin ţelor probabile ale înc ălc ării securit ăţii datelor cu caracter personal;

d) descrierea m ăsurilor luate sau propuse de operator pentru a remedia înc ălcarea securit ăţii datelor cu caracter personal, inclusiv, dac ă este cazul, a m ăsurilor necesare pentru a atenua eventualele efecte adverse ale acesteia.

(7) În cazul în care nu este posibil ă furnizarea, în acela şi timp, a informa ţiilor prev ăzute la alin. (6), acestea pot fi transmise treptat, f ăr ă întârzieri nejustificate, într-un termen care s ă nu depăşeasc ă 48 de ore de la momentul transmiterii notific ării ini ţiale.

ART. 37

(1) Operatorul are obliga ţia s ă documenteze toate cazurile de înc ălcare a securit ăţii datelor cu caracter personal şi s ă p ăstreze documentele pentru o perioad ă de 5 ani de la transmiterea notific ării prev ăzute la art. 36.

(2) Documentele prev ăzute la alin. (1) trebuie s ă cuprind ă:

a) descrierea situa ţiei în care a avut loc înc ălcarea securit ăţii datelor cu caracter personal;

b) descrierea efectelor acesteia;

c) descrierea m ăsurilor de remediere întreprinse.

(3) Documentele prev ăzute la alin. (1) trebuie s ă permit ă autorit ăţii de supraveghere s ă verifice respectarea dispozi ţiilor prezentului articol.

ART. 38

(1) Operatorul are obliga ţia s ă transmit ă informa ţiile prev ăzute

la art. 36 alin. (6) c ătre entitatea care, dup ă caz, a furnizat datele cu caracter personal sau c ătre care au fost transmise datele cu caracter personal, în cazul în care înc ălcarea securit ăţii datelor implic ă date cu caracter personal care au fost transmise d e un operator dintr-un alt stat membru sau c ătre un astfel de operator.

(2) Transmiterea informa ţiilor potrivit alin. (1) se realizeaz ă în termenul prev ăzut la art. 36 alin. (2).

ART. 39

(1) În cazul în care înc ălcarea securit ăţii datelor cu caracter personal este susceptibil ă s ă genereze un risc ridicat la adresa drepturilor şi libert ăţilor persoanelor fizice, operatorul informeaz ă persoana vizat ă, f ăr ă întârzieri nejustificate, dar nu mai mult de 10 zile calendaristice de la notificarea autorit ăţii de supraveghere, realizat ă în temeiul prevederilor art. 36, cu privire la înc ălcarea securit ăţii datelor cu caracter personal.

(2) Informarea prev ăzut ă la alin. (1) trebuie s ă con ţin ă o descriere, folosind un limbaj simplu şi clar, a naturii înc ălc ării securit ăţii datelor cu caracter personal şi cel pu ţin informa ţiile prev ăzute la art. 36 alin. (6) lit. b)-d).

(3) Informarea prev ăzut ă la alin. (1) nu este necesar ă în cazul în care este îndeplinit ă oricare dintre urm ătoarele condi ţii:

a) operatorul a pus în aplicare m ăsuri tehnologice şi organizatorice adecvate de protec ţie, incidente în cazul datelor cu caracter personal afectate de înc ălcarea securit ăţii datelor cu caracter personal, în special m ăsuri prin care se asigur ă c ă datele cu caracter personal devin neinteligibile oric ărei persoane care nu este autorizat ă s ă le acceseze, cum ar fi criptarea;

b) operatorul a luat m ăsuri ulterioare prin care se asigur ă c ă riscul ridicat la adresa drepturilor şi libert ăţilor persoanelor vizate men ţionat la alin. (1) nu mai este susceptibil s ă se materializeze;

c) necesit ă un efort dispropor ţionat; în acest caz, informarea se înlocuie şte cu informarea public ă sau o m ăsur ă similar ă prin care persoanele vizate sunt informate într-un mod la fel de eficace.

(4) În situa ţia primirii unei notific ări potrivit prevederilor art. 36, autoritatea de supraveghere, luând în cons iderare probabilitatea ca înc ălcarea securit ăţii datelor cu caracter personal să genereze un risc ridicat, poate dispune operatorul ui s ă informeze persoana vizat ă sau, dup ă caz, s ă constate c ă oricare dintre situa ţiile prev ăzute la alin. (3) este incident ă.

(5) Informarea prev ăzut ă la alin. (1) poate fi amânat ă, restric ţionat ă sau omis ă în condi ţiile prevederilor art. 15.

ART. 40

(1) Operatorul este obligat s ă desemneze un responsabil cu protec ţia datelor cu caracter personal.

(2) Instan ţele sunt exceptate de la obliga ţia prev ăzut ă la alin. (1) atunci când ac ţioneaz ă în exerci ţiul func ţiei lor judiciare.

(3) Poate fi desemnat ă responsabil cu protec ţia datelor persoana care îndepline şte urm ătoarele condi ţii:

a) de ţine calit ăţi profesionale corespunz ătoare;

b) de ţine cuno ştin ţe de specialitate în domeniul legisla ţiei şi practicilor privind protec ţia datelor cu caracter personal;

c) are capacitatea de a îndeplini sarcinile pre văzute la art. 42.

(4) Luând în considerare structura organizatori că şi dimensiunea lor, mai multe autorit ăţi competente pot desemna acela şi responsabil cu protec ţia datelor.

(5) Operatorul are obliga ţia s ă publice datele de contact ale responsabilului cu protec ţia datelor şi s ă le comunice autorit ăţii de supraveghere.

ART. 41

(1) Operatorul are obliga ţia de a consulta responsabilul cu protec ţia datelor cu caracter personal în mod corespunz ător şi în timp util în toate aspectele legate de protec ţia datelor cu caracter personal.

(2) Operatorul are obliga ţia de a acorda sprijin responsabilului cu protec ţia datelor cu caracter personal în îndeplinirea sar cinilor prev ăzute la art. 42, în special prin, dar f ăr ă a se limita la:

a) asigurarea resurselor necesare pentru îndepl inirea sarcinilor;

b) asigurarea accesului la datele cu caracter p ersonal şi la opera ţiunile de prelucrare;

c) asigurarea resurselor necesare pentru men ţinerea cuno ştin ţelor de specialitate şi adaptarea la noile tehnologii.

ART. 42

Responsabilul cu protec ţia datelor îndepline şte urm ătoarele sarcini principale:

a) informeaz ă şi consiliaz ă operatorul şi angaja ţii acestuia care efectueaz ă prelucrarea cu privire la obliga ţiile care le revin în temeiul prezentei legi şi al altor dispozi ţii legale privind protec ţia datelor cu caracter personal;

b) monitorizeaz ă respectarea dispozi ţiilor prezentei legi, a altor dispozi ţii legale privind protec ţia datelor cu caracter personal şi a politicilor operatorului în ceea ce prive şte protec ţia datelor cu caracter personal, inclusiv alocarea responsabilit ăţilor şi ac ţiunilor de con ştientizare şi de formare a personalului implicat în opera ţiunile de prelucrare, precum şi auditurile aferente;

c) consiliaz ă, la cerere, cu privire la evaluarea impactului asupra protec ţiei datelor cu caracter personal şi monitorizarea func ţion ării acesteia, în conformitate cu art. 32;

d) coopereaz ă cu autoritatea de supraveghere;

e) este desemnat persoan ă de contact în rela ţia cu autoritatea de supraveghere privind aspectele legate de prelucrare , asigurând consultarea prealabil ă prev ăzut ă la art. 33, precum şi, dac ă este cazul, consultarea cu privire la orice alt ă chestiune.

ART. 43

(1) Transferul de date cu caracter personal car e sunt în curs de prelucrare sau care sunt destinate prelucr ării dup ă transferul c ătre un stat ter ţ sau c ătre o organiza ţie interna ţional ă, inclusiv transferurile ulterioare c ătre un alt stat ter ţ sau o alt ă organiza ţie

interna ţional ă, poate avea loc doar cu respectarea dispozi ţiilor prezentei legi şi numai dac ă sunt îndeplinite urm ătoarele condi ţii:

a) transferul este necesar pentru realizarea sc opurilor prev ăzute la art. 1;

b) datele cu caracter personal sunt transferate unui operator dintr-o ţar ă ter ţă, care este o autoritate competent ă, în sensul art. 4 lit. g), sau unei organiza ţii interna ţionale, înfiin ţat ă în scopul prev ăzut la art. 1;

c) în cazul în care datele cu caracter personal au fost transmise sau au fost puse la dispozi ţie de c ătre autorit ăţile competente ale altui stat membru, acel stat membru a autorizat în prealabil efectuarea transferului, în conformitate cu dreptul s ău intern;

d) Comisia a adoptat o decizie privind caracter ul adecvat al nivelului de protec ţie, în temeiul art. 36 din Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protec ţia persoanelor fizice referitor la prelucrarea date lor cu caracter personal de c ătre autorit ăţile competente în scopul prevenirii, depist ării, investig ării sau urm ăririi penale a infrac ţiunilor sau al execut ării pedepselor şi privind libera circula ţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, sau, în absen ţa unei astfel de decizii, exist ă sau se ofer ă garan ţii adecvate în temeiul art. 37 din Directiv ă sau, în absen ţa unei decizii privind caracterul adecvat al nivelu lui de protec ţie în conformitate cu art. 36 sau a unor garan ţii adecvate în conformitate cu art. 37, se aplic ă derog ări pentru situa ţii speciale în conformitate cu art. 38 din aceasta;

e) în cazul unui transfer ulterior c ătre un alt stat ter ţ sau organiza ţie interna ţional ă, autoritatea competent ă care a realizat transferul ini ţial sau o alt ă autoritate competent ă din acela şi stat membru autorizeaz ă transferul ulterior, ţinând seama în mod corespunz ător de to ţi factorii relevan ţi.

(2) La evaluarea factorilor relevan ţi pentru transfer, în condi ţiile alin. (1) lit. e), se au în vedere cel pu ţin urm ătoarele aspecte:

a) gravitatea infrac ţiunii;

b) scopul în care datele cu caracter personal a u fost transferate ini ţial;

c) nivelul de protec ţie a datelor cu caracter personal din ţara ter ţă sau din organiza ţia interna ţional ă c ătre care sunt transferate ulterior datele cu caracter personal.

(3) Autorit ăţile competente române autorizeaz ă transferul datelor cu caracter personal c ătre un stat ter ţ sau c ătre o organiza ţie interna ţional ă, la cererea unei autorit ăţi competente dintr-un stat membru, numai dac ă sunt îndeplinite condi ţiile prev ăzute de prezenta lege.

(4) Autorizarea prev ăzut ă la alin. (3) se transmite cu celeritate, dar nu mai târziu de 30 de zile calendaristice de l a primirea cererii. În situa ţia în care nu sunt îndeplinite condi ţiile prev ăzute de prezenta lege pentru autorizarea transferului, auto rit ăţii competente din statul membru care a formulat cererea i se comu nic ă motivele

pentru care transferul nu poate fi autorizat.

(5) Autorit ăţile competente române pot realiza transferurile f ăr ă autorizarea prealabil ă de c ătre un alt stat membru, în conformitate cu dispozi ţiile alin. (1) lit. c), numai dac ă transferul de date cu caracter personal este necesar pentru prevenirea un ei amenin ţări imediate şi grave la adresa ordinii şi siguran ţei publice a unui stat membru sau a unei ţări ter ţe sau a intereselor fundamentale ale unui stat membru, iar autorizarea prealabil ă nu poate fi ob ţinut ă în timp util. Autoritatea responsabil ă pentru acordarea unei autoriz ări prealabile este informat ă f ăr ă întârziere.

(6) Dispozi ţiile prezentului articol, precum şi cele ale art. 44-48 se aplic ă pentru a se asigura c ă nivelul de protec ţie a persoanelor fizice garantat prin prezenta lege nu este subminat .

ART. 44

(1) Transferul de date cu caracter personal c ătre o ţar ă ter ţă sau o organiza ţie interna ţional ă este întotdeauna posibil, în condi ţiile art. 43 alin. (1) lit. d), atunci când Comisia Euro peană a decis c ă statul ter ţ, un teritoriu ori una sau mai multe diviziuni administrativ-teritoriale determinate din acel stat ter ţ sau organiza ţia interna ţional ă în cauz ă asigur ă un nivel de protec ţie adecvat.

(2) Transferurile realizate în condi ţiile alin. (1) nu necesit ă autoriz ări speciale.

(3) Autorit ăţile competente au obliga ţia, în situa ţia transferurilor prev ăzute la alin. (1), s ă monitorizeze şi s ă respecte întocmai dispozi ţiile actelor de punere în aplicare adoptate de Comisia European ă.

(4) Decizia Comisiei Europene de abrogare, modi ficare sau suspendare a unei decizii de adecvare nu aduce atin gere transferurilor de date cu caracter personal c ătre ţara ter ţă, c ătre teritoriul sau către unul sau mai multe sectoare determinate din ace a ţar ă ter ţă sau către organiza ţia interna ţional ă în cauz ă în conformitate cu art. 37 şi 38.

(5) Autorit ăţile competente române au obliga ţia monitoriz ării listei statelor ter ţe, a teritoriilor şi diviziunilor administrativ-teritoriale determinate din statele ter ţe şi a organiza ţiilor interna ţionale în cazul c ărora Comisia European ă a decis c ă nivelul de protec ţie adecvat este asigurat sau nu mai este asigurat, prin consultarea Jurnalului Oficial al Uniunii Europene şi a site-ului web al Comisiei Europene.

ART. 45

(1) Prin excep ţie de la dispozi ţiile art. 43 alin. (1) lit. d), în absen ţa unei decizii adoptate de Comisia European ă, transferul de date cu caracter personal c ătre o ţar ă ter ţă sau c ătre o organiza ţie interna ţional ă poate avea loc atunci când:

a) au fost stabilite garan ţii adecvate în ceea ce prive şte protec ţia datelor cu caracter personal printr-un act cu ca racter juridic obligatoriu; sau

b) operatorul a evaluat toate circumstan ţele aferente transferului de date cu caracter personal şi a concluzionat c ă exist ă garan ţii

adecvate în ceea ce prive şte protec ţia datelor cu caracter personal.

(2) În scopul îndeplinirii condi ţiilor prev ăzute la alin. (1) lit. b), operatorul trebuie s ă ţin ă cont cel pu ţin de urm ătoarele:

a) situa ţia general ă privind respectarea drepturilor omului şi a libert ăţilor fundamentale;

b) legisla ţia relevant ă, atât general ă, cât şi sectorial ă, inclusiv privind ordinea şi siguran ţa public ă, ap ărarea, securitatea naţional ă şi dreptul penal, precum şi punerea în aplicare a acestei legisla ţii;

c) accesul autorit ăţilor publice la datele cu caracter personal;

d) legisla ţia privind protec ţia datelor cu caracter personal;

e) m ăsurile privind asigurarea securit ăţii datelor cu caracter personal;

f) legisla ţia privind transferul ulterior de date cu caracter personal c ătre o alt ă ţar ă ter ţă sau organiza ţie interna ţional ă;

g) drepturile efective şi opozabile ale persoanelor vizate şi repara ţii efective pe cale administrativ ă şi judiciar ă pentru persoanele vizate ale c ăror date cu caracter personal sunt transferate.

(3) Operatorul informeaz ă autoritatea de supraveghere cu privire la transferurile realizate în condi ţiile alin. (1) lit. b).

(4) Operatorul are obliga ţia s ă ţin ă eviden ţa transferurilor realizate în condi ţiile alin. (1) lit. b), precizând cel pu ţin următoarele:

a) data şi ora transferului;

b) informa ţii cu privire la autoritatea competent ă destinatar ă;

c) informa ţii cu privire la justificarea transferului;

d) datele cu caracter personal transferate.

(5) Documenta ţia prev ăzut ă la alin. (4) se p ăstreaz ă pentru o perioad ă de 10 ani şi, la cerere, se pune la dispozi ţia autorit ăţii de supraveghere.

ART. 46

(1) Prin excep ţie de la dispozi ţiile art. 45 alin. (1) şi în cazul în care nu pot fi îndeplinite condi ţiile prev ăzute la art. 44, un transfer sau o categorie de transferuri de date cu caracter personal către o ţar ă ter ţă sau c ătre o organiza ţie interna ţional ă poate avea loc numai în condi ţiile în care transferul este necesar pentru atingerea unuia dintre urm ătoarele scopuri:

a) protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane, cum ar fi prevenirea unui pericol im inent cel pu ţin asupra vie ţii, integrit ăţii corporale sau s ănăt ăţii acestora;

b) protejarea intereselor legitime ale persoane i vizate, în cazul în care exist ă o dispozi ţie legal ă expres ă în acest sens;

c) prevenirea unei amenin ţări imediate şi grave la adresa ordinii şi siguran ţei publice a unui stat membru sau a unei ţări ter ţe;

d) în cazuri individuale în scopurile stabilite la art. 1;

e) într-un caz individual pentru descoperirea, exercitarea sau apărarea unui drept în instan ţă privind scopurile stabilite la art. 1.

(2) Se interzice transferul datelor cu caracter personal în condi ţiile alin. (1) lit. d) şi e) în cazul în care în urma evalu ărilor realizate de autoritatea competent ă român ă care transfer ă datele cu caracter personal se stabile şte c ă drepturile şi libert ăţile fundamentale ale persoanei vizate prevaleaz ă asupra interesului public.

(3) În situa ţia transferurilor realizate în condi ţiile alin. (1), dispozi ţiile art. 45 alin. (4) şi (5) se aplic ă în mod corespunz ător.

ART. 47

(1) În cazuri individuale specifice, dac ă sunt îndeplinite toate condi ţiile referitoare la transferul de date cu caracter personal prev ăzute de prezenta lege, operatorul poate transfera d ate cu caracter personal c ătre destinatari din state ter ţe care nu sunt autorit ăţi competente în în ţelesul prezentei legi, numai dac ă sunt îndeplinite în mod cumulativ urm ătoarele condi ţii:

a) transferul este strict necesar pentru exerci tarea unei atribu ţii prev ăzute de lege în sarcina autorit ăţii competente române, în scopul îndeplinirii activit ăţilor prev ăzute la art. 1;

b) autoritatea competent ă român ă stabile şte c ă niciunul dintre drepturile şi libert ăţile fundamentale ale persoanei vizate în cauz ă nu prevaleaz ă în fa ţa interesului public care impune transferul în cazul respectiv;

c) din evalu ările realizate de c ătre autoritatea competent ă român ă rezult ă c ă transferul c ătre o autoritate din ţara ter ţă, care este competent ă în scopul îndeplinirii activit ăţilor prev ăzute la art. 1, este ineficient sau necorespunz ător, în special din cauz ă c ă transferul nu poate fi realizat în timp util;

d) autoritatea din ţara ter ţă, care este competent ă în scopul îndeplinirii activit ăţilor prev ăzute la art. 1, este informat ă f ăr ă întârzieri nejustificate, cu excep ţia cazului în care aceast ă măsur ă este ineficient ă sau necorespunz ătoare;

e) autoritatea competent ă român ă informeaz ă destinatarul cu privire la scopul sau scopurile determinate exclusi ve în care aceasta din urm ă poate s ă prelucreze datele cu caracter personal, cu condi ţia ca o astfel de prelucrare s ă fie necesar ă.

(2) Transferul în condi ţiile alin. (1) este posibil numai dac ă destinatarul se angajeaz ă în scris s ă nu prelucreze datele cu caracter personal în alt scop decât cel pentru care au fost transmise, circumscris îndeplinirii scopurilor prev ăzute la art. 1.

(3) Dispozi ţiile alin. (1) nu afecteaz ă transferurile de date cu caracter personal stabilite prin tratate încheiate în domeniul cooper ării judiciare în materie penal ă sau al cooper ării poli ţiene şti interna ţionale.

(4) Autoritatea competent ă român ă informeaz ă periodic, cel pu ţin o dat ă pe an, autoritatea de supraveghere cu privire la t ransferurile efectuate în temeiul prezentului articol.

(5) În situa ţia transferurilor realizate în condi ţiile alin. (1), dispozi ţiile art. 43 alin. (4) şi (5) se aplic ă în mod corespunz ător.

ART. 48

În ceea ce prive şte ţările ter ţe şi organiza ţiile interna ţionale,

autorit ăţile competente dispun m ăsuri corespunz ătoare pentru:

a) elaborarea de mecanisme de cooperare interna ţional ă pentru a facilita asigurarea efectiv ă a respect ării legisla ţiei privind protec ţia datelor cu caracter personal;

b) acordarea de asisten ţă interna ţional ă reciproc ă în asigurarea respect ării legisla ţiei din domeniul protec ţiei datelor cu caracter personal, inclusiv prin notific ări, transferul reclama ţiilor, asisten ţă în anchete şi schimb de informa ţii, sub rezerva unor garan ţii adecvate pentru protec ţia datelor cu caracter personal şi a altor drepturi şi libert ăţi fundamentale;

c) implicarea p ăr ţilor interesate relevante în discu ţiile şi activit ăţile care au ca scop consolidarea cooper ării interna ţionale în vederea asigur ării respect ării legisla ţiei din domeniul protec ţiei datelor cu caracter personal;

d) promovarea schimburilor de legisla ţie şi practici în materie de protec ţie a datelor cu caracter personal şi a document ării cu privire la acestea, inclusiv în ceea ce prive şte eventualele conflicte de jurisdic ţie cu ţările ter ţe.

ART. 49

(1) Pentru realizarea activit ăţilor de cercetare şi combatere a infrac ţiunilor, sistemele de eviden ţă a datelor cu caracter personal sau, dup ă caz, mijloacele automate de prelucrare a datelor c u caracter personal pe care operatorii le de ţin, pentru scopuri diferite, pot fi interoperabilizate.

(2) În scopul prev ăzut la alin. (1), interoperabilizarea sistemelor de eviden ţă a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu car acter personal se poate realiza şi cu sistemele de eviden ţă ori cu mijloacele automate de prelucrare a datelor cu caracter personal de ţinute de al ţi operatori, autorit ăţi şi institu ţii publice na ţionale.

(3) Interoperabiliz ările prev ăzute la alin. (1) şi (2) sunt posibile numai cu consultarea prealabil ă a autorit ăţii de supraveghere.

(4) În scopul prev ăzut la alin. (1), interoperabilizarea sistemelor de eviden ţă a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu car acter personal se poate realiza şi cu sistemele de eviden ţă sau cu mijloacele automate de prelucrare a datelor cu caracter personal de ţinute de al ţi operatori, entit ăţi de drept privat.

(5) Interoperabiliz ările prev ăzute la alin. (4) sunt permise numai în scopul efectu ării urm ăririi penale, în baza unei ordonan ţe emise de procurorul competent s ă efectueze ori s ă supravegheze urm ărirea penal ă într-un caz determinat, ori, în cazul judec ării unei infrac ţiuni, de completul de judecat ă învestit cu solu ţionarea cauzei.

(6) Accesul direct sau printr-un serviciu de co munica ţii electronice la un sistem de eviden ţă a datelor cu caracter personal care face obiectul interoperabiliz ării, potrivit alin. (1), este permis numai în condi ţiile legii şi cu respectarea prevederilor art. 1.

ART. 50

(1) În cazul activit ăţilor de prevenire a infrac ţiunilor, de menţinere şi de asigurare a ordinii şi siguran ţei publice, sistemele de eviden ţă a datelor cu caracter personal sau mijloacele auto mate de prelucrare a datelor cu caracter personal pot fi in teroperabilizate cu:

a) Registrul na ţional de eviden ţă a persoanelor;

b) Registrul na ţional de eviden ţă a pa şapoartelor simple;

c) Registrul na ţional de eviden ţă a permiselor de conducere şi a vehiculelor înmatriculate.

(2) În cazul activit ăţilor prev ăzute la alin. (1), sistemele de eviden ţă a datelor cu caracter personal sau, dup ă caz, mijloacele automate de prelucrare a datelor cu caracter person al pe care le de ţin operatorii, pentru scopuri similare ori corelate, p ot fi interoperabilizate.

(3) Interoperabiliz ările prev ăzute la alin. (1) şi (2) se aduc la cuno ştin ţa autorit ăţii de supraveghere.

(4) În cazul activit ăţilor prev ăzute la alin. (1) se pot interoperabiliza sistemele de eviden ţă a datelor cu caracter personal sau, dup ă caz, mijloacele automate de prelucrare a datelor c u caracter personal pe care le de ţin pentru scopuri diferite, numai cu acordul prealabil al autorit ăţii de supraveghere.

ART. 51

(1) Supravegherea prelucr ărilor de date cu caracter personal efectuate în temeiul prezentei legi, în scopul prot ej ării drepturilor şi libert ăţilor fundamentale ale persoanelor fizice, în ceea c e prive şte prelucrarea şi în vederea facilit ării liberei circula ţii a datelor cu caracter personal în cadrul Uniunii Euro pene, se realizeaz ă de c ătre autoritatea de supraveghere.

(2) Autoritatea de supraveghere coopereaz ă cu autorit ăţi similare din alte state membre, precum şi cu Comisia, în conformitate cu art. 56.

ART. 52

(1) Autoritatea de supraveghere monitorizeaz ă şi controleaz ă sub aspectul legalit ăţii prelucr ările de date cu caracter personal care intr ă sub inciden ţa prezentei legi.

(2) Prin excep ţie de la alin. (1), autoritatea de supraveghere nu este competent ă s ă supravegheze opera ţiunile de prelucrare ale instan ţelor atunci când acestea ac ţioneaz ă în exerci ţiul func ţiei lor judiciare.

(3) În acest scop, autoritatea de supraveghere îndepline şte sarcinile prev ăzute la art. 57 alin. (1) lit. b), c) şi t) din Regulamentul (UE) 2016/679, precum şi urm ătoarele:

a) promoveaz ă ac ţiuni de con ştientizare în rândurile operatorilor şi ale persoanelor împuternicite de ace ştia cu privire la obliga ţiile care le revin în temeiul prezentei legi;

b) furnizeaz ă informa ţii, la cerere, oric ărei persoane vizate în leg ătur ă cu exercitarea drepturilor sale în temeiul prezent ei legi şi, dac ă este cazul, coopereaz ă cu autorit ăţile de supraveghere din alte state membre în acest scop;

c) prime şte plângerile depuse de o persoan ă vizat ă sau de un

organism, o organiza ţie sau o asocia ţie, în conformitate cu art. 55 sau 57, investigheaz ă într-o m ăsur ă adecvat ă obiectul plângerii şi informeaz ă persoana care a depus plângerea cu privire la evol uţia şi rezultatul investiga ţiei, într-un termen rezonabil, în special dac ă este necesar ă efectuarea unei investiga ţii mai am ănunţite sau coordonarea cu o alt ă autoritate de supraveghere;

d) verific ă legalitatea prelucr ării în conformitate cu art. 20 şi informeaz ă persoana vizat ă, într-un termen rezonabil, cu privire la rezultatul verific ării în temeiul art. 20 alin. (3) sau cu privire la motivele pentru care nu a avut loc verificarea;

e) coopereaz ă, inclusiv prin schimb de informa ţii, cu alte autorit ăţi de supraveghere şi î şi ofer ă reciproc asisten ţă pentru a asigura consecven ţa aplic ării şi respect ării prezentei legi;

f) desf ăşoar ă investiga ţii privind aplicarea prezentei legi, inclusiv pe baza unor informa ţii primite de la o alt ă autoritate de supraveghere sau autoritate public ă;

g) monitorizeaz ă evolu ţiile relevante, în m ăsura în care acestea au impact asupra protec ţiei datelor cu caracter personal, în special evolu ţia tehnologiilor informa ţiilor şi comunica ţiilor;

h) ofer ă consiliere cu privire la opera ţiunile de prelucrare menţionate la art. 33 şi 34.

ART. 53

(1) În exercitarea competen ţelor de investigare, autoritatea de supraveghere are acces la toate datele cu caracter personal prelucrate de operator şi persoana împuternicit ă de operator, precum şi la toate informa ţiile necesare pentru îndeplinirea sarcinilor sale.

(2) Autorit ăţii de supraveghere îi revin urm ătoarele competen ţe:

a) de a emite avertiz ări în aten ţia unui operator sau a unei persoane împuternicite de operator cu privire la pr obabilitatea ca opera ţiunile de prelucrare vizate s ă încalce prevederile prezentei legi;

b) de a dispune operatorului sau persoanei împu ternicite de c ătre operator s ă asigure conformitatea opera ţiunilor de prelucrare cu prevederile prezentei legi, specificând, dup ă caz, modalitatea şi termenul-limit ă pentru aceasta, în special dispunând rectificarea sau ştergerea datelor cu caracter personal ori restric ţionarea prelucr ării acestora, în conformitate cu art. 18;

c) de a dispune limitarea temporar ă sau definitiv ă ori interdic ţia prelucr ărilor.

(3) Autoritatea de supraveghere ofer ă consiliere operatorului în conformitate cu procedura de consultare prealabil ă menţionat ă la art. 33 şi 34 şi emite avize, din proprie ini ţiativ ă sau la cerere, Parlamentului, Guvernului sau altor institu ţii şi organisme, precum şi publicului, cu privire la orice aspect legat de pro tec ţia datelor cu caracter personal.

ART. 54

Autorit ăţile competente instituie mecanisme eficiente de încurajare a denun ţării confiden ţiale a cazurilor de înc ălcare a prezentei directive.

ART. 55

Autoritatea de supraveghere întocme şte un raport anual cu privire la activit ăţile sale, care poate include o list ă a cazurilor de înc ălcare notificate şi natura sanc ţiunilor aplicate. Rapoartele se transmit Parlamentului şi Guvernului. Rapoartele se pun la dispozi ţia publicului, a Comisiei şi a Comitetului European pentru Protec ţia Datelor.

ART. 56

(1) Autoritatea de supraveghere coopereaz ă cu institu ţii similare din str ăin ătate şi asigur ă reprezentarea în cadrul Comitetului European pentru Protec ţia Datelor.

(2) Dispozi ţiile Legii nr. 102/2005, cu modific ările şi complet ările ulterioare, referitoare la cooperarea Autorit ăţii Naţionale de Supraveghere a Prelucr ării Datelor cu Caracter Personal cu institu ţii similare din str ăin ătate, sunt aplicabile în mod corespunz ător.

ART. 57

(1) În cazul în care persoana vizat ă consider ă c ă prelucrarea datelor cu caracter personal care o vizeaz ă încalc ă dispozi ţiile prezentei legi, are dreptul de a se adresa cu plâng ere autorit ăţii de supraveghere.

(2) Dispozi ţiile Regulamentului general privind protec ţia datelor sunt aplicabile în mod corespunz ător.

ART. 58

F ăr ă a se aduce atingere posibilit ăţii de a se adresa cu plângere autorit ăţii de supraveghere, persoanele vizate au dreptul de a se adresa instan ţei pentru ap ărarea oric ăror drepturi garantate de prezenta lege, care le-au fost înc ălcate.

ART. 59

În scopul ap ăr ării drepturilor sale, persoana vizat ă are dreptul de a mandata un organism, o organiza ţie sau o asocia ţie, care nu are scop lucrativ, constituit ă în condi ţiile legii, ale c ărei obiective statutare sunt de interes public şi care este activ ă în domeniul protec ţiei drepturilor şi libert ăţilor persoanelor vizate în ceea ce prive şte protec ţia datelor cu caracter personal, s ă depun ă plângerea în numele s ău şi s ă exercite în numele s ău drepturile prev ăzute de prezenta lege.

ART. 60

(1) Orice persoan ă care a suferit prejudicii materiale sau morale ca urmare a unei opera ţiuni de prelucrare ilegale sau a oric ărei acţiuni care încalc ă dispozi ţiile prezentei legi are dreptul de a obţine desp ăgubiri, în condi ţiile legii, pentru prejudiciul cauzat de operator sau de o alt ă autoritate competent ă.

(2) Dac ă, în situa ţia prelucr ărilor automate de date cu caracter personal, nu este posibil ă determinarea operatorului de date cu caracter personal care a cauzat prejudiciul, fiecar e dintre operatorii de date cu caracter personal implica ţi în opera ţiunea de prelucrare este considerat a fi responsabil.

ART. 61

(1) Constituie contraven ţie înc ălcarea de c ătre operator sau, dup ă caz, de c ătre persoana împuternicit ă de operator a obliga ţiilor acestora în conformitate cu art. 11 şi 22-42 din prezenta lege.

(2) Constituie contraven ţie înc ălcarea de c ătre operator sau, dup ă caz, de c ătre persoana împuternicit ă de operator a dispozi ţiilor art. 10 din prezenta lege.

(3) Contraven ţiile prev ăzute la alin. (1) şi (2) se sanc ţioneaz ă cu amend ă de la 10.000 lei pân ă la 100.000 lei.

(4) Constituie contraven ţie înc ălcarea de c ătre operator sau, dup ă caz, de c ătre persoana împuternicit ă de operator a normelor prev ăzute la art. 5.

(5) Constituie contraven ţie înc ălcarea de c ătre operator sau, dup ă caz, de c ătre persoana împuternicit ă de operator a drepturilor persoanelor vizate în conformitate cu art. 12-21.

(6) Constituie contraven ţie înc ălcarea de c ătre operator sau, dup ă caz, de c ătre persoana împuternicit ă de operator a dispozi ţiilor referitoare la transferurile de date cu caracter pe rsonal c ătre un destinatar dintr-o ţar ă ter ţă sau o organiza ţie interna ţional ă, în conformitate cu art. 44-49.

(7) Constituie contraven ţie înc ălcarea de c ătre operator sau, dup ă caz, de c ătre persoana împuternicit ă de operator a dispozi ţiilor emise de c ătre autoritatea de supraveghere în temeiul art. 53 alin. (2) sau neacordarea accesului autorit ăţii de supraveghere, prin înc ălcarea dispozi ţiilor art. 53 alin. (1).

(8) Contraven ţiile prev ăzute la alin. (4)-(7) se sanc ţioneaz ă cu amendă de la 20.000 lei pân ă la 200.000 lei.

ART. 62

(1) În cazul constat ării înc ălc ării prevederilor prezentei legi de către operator sau, dup ă caz, de c ătre persoana împuternicit ă de operator, autoritatea de supraveghere încheie un pr oces-verbal de constatare şi sanc ţionare a contraven ţiei prin care se aplic ă sanc ţiunea avertismentului, conform art. 58 alin. (2) li t. b) din Regulamentul general privind protec ţia datelor, şi la care anexeaz ă un plan de remediere.

(2) Termenul de remediere se stabile şte în func ţie de riscurile asociate prelucr ării, precum şi demersurile necesar a fi îndeplinite pentru asigurarea conformit ăţii prelucr ării.

(3) În termen de 10 zile de la data expir ării termenului de remediere, autoritatea de supraveghere poate s ă reia controlul.

(4) În cazul în care operatorul sau, dup ă caz, persoana împuternicit ă de operator constat ă c ă nu poate îndeplini în termenul stabilit, din motive întemeiate, o parte din m ăsurile dispuse prin planul de remediere, notific ă autoritatea de supraveghere cu privire la acest aspect cu cel pu ţin 10 zile înainte de expirarea termenului, putând solicita totodat ă prelungirea termenului ini ţial.

(5) Autoritatea de supraveghere analizeaz ă solicitarea de prelungire a termenului şi comunic ă r ăspunsul operatorului sau, dup ă caz, persoanei împuternicite de c ătre operator, în termen de 7 zile de la primirea cererii.

(6) Dac ă autoritatea de supraveghere consider ă justificat ă cererea operatorului sau, dup ă caz, a persoanei împuternicite de c ătre operator, poate prelungi termenul de remediere cu p ână la 30 de zile. În caz contrar, se aplic ă prevederile de la alin. (3).

(7) Responsabilitatea îndeplinirii m ăsurilor de remediere revine operatorului sau, dup ă caz, persoanei împuternicite de operator, care, potrivit legii, poart ă r ăspunderea contraven ţional ă pentru faptele constatate.

(8) Modelul planului de remediere care se anexe ază la procesul-verbal de constatare şi sanc ţionare a contraven ţiei este prev ăzut în anexa la prezenta lege.

ART. 63

Dac ă, la reluarea controlului, autoritatea de supravegh ere constat ă faptul c ă operatorul nu a adus la îndeplinire în totalitate măsurile prev ăzute în planul de remediere, aceasta, în func ţie de circumstan ţele fiec ărui caz în parte, poate aplica sanc ţiunea contraven ţional ă a amenzii.

ART. 64

La data intr ării în vigoare a prezentei legi, Legea nr. 238/2009 privind reglementarea prelucr ării datelor cu caracter personal de c ătre structurile/unit ăţile Ministerului Administra ţiei şi Internelor în activit ăţile de prevenire, cercetare şi combatere a infrac ţiunilor, precum şi de men ţinere şi asigurare a ordinii publice, republicat ă în Monitorul Oficial al României, Partea I, nr. 47 4 din 12 iulie 2012, se abrog ă.

ART. 65

Prevederile art. 61 intr ă în vigoare la 30 de zile de la data public ării prezentei legi în Monitorul Oficial al României , Partea I.

Prezenta lege transpune în legisla ţia na ţional ă Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protec ţia persoanelor fizice referitor la prelucrarea date lor cu caracter personal de c ătre autorit ăţile competente în scopul prevenirii, depist ării, investig ării sau urm ăririi penale a infrac ţiunilor sau al execut ării pedepselor şi privind libera circula ţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, publicat ă în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119/89 din 4 mai 2016.

Aceast ă lege a fost adoptat ă de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constitu ţia României, republicat ă.

p. PRE ŞEDINTELE CAMEREI DEPUTAŢILOR,

CARMEN-ILEANA MIH ĂLCESCU PRE ŞEDINTELE SENATULUI

C ĂLIN-CONSTANTIN-ANTON POPESCU-TĂRICEANU

Bucure şti, 28 decembrie 2018.

Nr. 363.

ANEXA 1

PLAN DE REMEDIERE

ziua ............ luna ............ anul ...... ......

Modul de îndeplinire a m ăsurilor de remediere

┌───┬─────────┬─────────┬─────────┬───────────┐

│Nr. │Fapta │Măsuri de │Termen de │Mod de │

│ │săvâr şit ă│remediere │remediere │îndeplinire │

├───┼─────────┼─────────┼─────────┼───────────┤

├───┼─────────┼─────────┼─────────┼───────────┤

├───┼─────────┼─────────┼─────────┼───────────┤

├───┼─────────┼─────────┼─────────┼───────────┤

└───┴─────────┴─────────┴─────────┴───────────┘

Alte men ţiuni

............................................... ...............................................................

Agent constatator/ Persoan ă competent ă

…………………………….

(numele, prenumele, semn ătura)

Contravenient,

………………….

(numele, prenumele, semn ătura)

Ştampila

-----