Capitolul ii - CONDIŢIILE GENERALE DE LEGALITATE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL - Directiva 95/46/CE/24-oct-1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date
Acte UE
Editia Speciala a Jurnalului Oficial
Ieşit din vigoare Versiune de la: 1 Ianuarie 2007
CAPITOLUL II:CONDIŢIILE GENERALE DE LEGALITATE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Art. 5
Statele membre precizează, în limitele dispoziţiilor prezentului capitol, condiţiile în care operaţiunile de prelucrare a datelor cu caracter personal sunt legale.
Art. 6
(1)Statele membre stabilesc că datele cu caracter personal trebuie să fie:
a)prelucrate în mod corect şi legal,
b)colectate în scopuri determinate, explicite şi legitime şi să nu mai fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau ştiinţifice nu este considerată incompatibilă atât timp cât statele membre prevăd garanţii corespunzătoare;
c)adecvate, pertinente şi neexcesive în ceea ce priveşte scopurile pentru care sunt colectate şi prelucrate ulterior;
d)exacte şi, dacă este necesar, actualizate; trebuie luate toate măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate sau pentru care vor fi prelucrate ulterior, să fie şterse sau rectificate;
e)păstrate într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanţiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menţionată, în scopuri istorice, statistice sau ştiinţifice.
(2)Operatorul are obligaţia să asigure respectarea alineatului (1).
Art. 7
Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:
a)persoana vizată şi-a dat consimţământul neechivoc sau
b)prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului sau
c)prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului sau
d)prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate sau
e)prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul sau terţul căruia îi sunt comunicate datele sau
f)prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulţi terţi, cu condiţia ca acest interes să nu prejudicieze interesul sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protecţie în temeiul articolului 1 alineatul (1).
Art. 8: Prelucrarea unor categoriilor speciale de date
(1)Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenenţa sindicală, precum şi prelucrarea datelor privind sănătatea sau viaţa sexuală.
(2)Alineatul (1) nu se aplică în oricare din următoarele situaţii:
a)persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date, cu excepţia cazului în care legislaţia statului membru prevede ca interdicţia prevăzută la alineatul (1) să nu poată fi ridicată prin consimţământul persoanei vizate sau
b)prelucrarea este necesară în scopul respectării obligaţiilor şi drepturilor specifice ale operatorului în materie de drept al muncii, în măsura în care este autorizat de legislaţia internă care prevede garanţii adecvate sau
c)prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-şi dea consimţământul sau
d)prelucrarea este efectuată, în cursul activităţilor lor legitime şi cu garanţii adecvate, de o fundaţie, o asociaţie sau orice alt organism cu scop nelucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii acestui organism sau la persoane cu care are contacte permanente în legătură cu scopurile sale şi ca datele să nu fie comunicate terţilor fără consimţământul persoanelor vizate sau
e)prelucrarea se referă la date care sunt făcute publice de către persoanele vizate în mod manifest sau sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în justiţie.
(3)Alineatul (1) nu se aplică atunci când prelucrarea datelor este necesară în scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijirii sau tratamente ori de gestionare a serviciilor de sănătate şi atunci când datele sunt prelucrate de un cadru medical supus, în conformitate cu dreptul intern ori cu normele stabilite de autorităţile naţionale competente, secretului profesional sau de altă persoană supusă, de asemenea, unei obligaţii echivalente în ceea ce priveşte secretul.
(4)Sub rezerva unor garanţii corespunzătoare, statele membre pot prevedea, pentru un motiv de interes public important, derogări suplimentare faţă de cele prevăzute în alineatul (2) fie în legislaţia internă, fie prin decizia autorităţii de supraveghere.
(5)Prelucrarea datelor referitoare la infracţiuni, condamnări penale sau măsuri de securitate se poate efectua numai sub controlul autorităţii publice sau dacă garanţiile corespunzătoare şi specifice sunt prevăzute de dreptul intern, sub rezerva derogărilor pe care statul membru le poate acorda în temeiul dispoziţiilor de drept intern care prevăd garanţii corespunzătoare şi specifice. Cu toate acestea, un registru complet al condamnărilor penale nu poate fi ţinut decât sub controlul autorităţii publice.
Statele membre pot să prevadă ca datele referitoare la sancţiunile administrative sau sentinţele civile să fie, de asemenea, prelucrate tot sub controlul autorităţii publice.
(6)Derogările de la alineatul (1) prevăzute la alineatele (4) şi (5) sunt notificate Comisiei.
(7)Statele membre stabilesc condiţiile în care poate fi prelucrat un număr de identificare sau orice alt identificator cu aplicabilitate generală care poate face obiectul prelucrării.
Art. 9: Prelucrarea datelor cu caracter personal şi libertatea de exprimare
Statele membre prevăd exonerări şi derogări de la dispoziţiile prezentului capitol, ale capitolului IV şi ale capitolului VI pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, în măsura în care se dovedesc necesare pentru a pune dreptul la viaţă privată în acord cu normele care reglementează libertatea de exprimare.
Art. 10: Informaţiile în cazurile de colectare a datelor de la persoana vizată
Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puţin informaţiile menţionate mai jos, cu excepţia cazului în care persoana este deja informată cu privire la aceste date:
a)identitatea operatorului şi, dacă este cazul, a reprezentantului;
b)scopul prelucrării căreia îi sunt destinate datele;
c)orice alte informaţii suplimentare, cum ar fi:
- destinatarii sau categoriile de destinatari ai datelor;
- dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum şi consecinţele posibile ale evitării răspunsului;
- existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal,
în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
Art. 11: Informaţii în cazul în care datele nu au fost obţinute de la persoana vizată
(1)Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terţi, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puţin informaţiile menţionate mai jos, cu excepţia cazului în care persoana vizată este deja informată cu privire la aceste date:
a)identitatea operatorului şi, dacă este cazul, a reprezentantului său;
b)scopurile prelucrării;
c)orice alte informaţii suplimentare, cum ar fi:
- categoriile de date în cauză;
- destinatarii sau categoriile de destinatari ai datelor;
- existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal;
în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
(2)Alineatul (1) nu se aplică atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori ştiinţifică, informarea persoanei vizate se dovedeşte a fi imposibilă, implică eforturi disproporţionate sau dacă legislaţia prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, statele membre prevăd garanţii corespunzătoare.
Art. 12: Dreptul de acces
Statele membre garantează oricărei persoane vizate dreptul de a obţine de la operator:
a)fără constrângere, la intervale rezonabile şi fără întârzieri sau cheltuieli excesive:
- confirmarea că datele care o privesc sunt sau nu sunt prelucrate, precum şi informaţii referitoare la scopul prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;
- comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării şi a altor informaţii disponibile cu privire la originea datelor;
- informaţii cu privire la principiile de funcţionare a mecanismului prin care se efectuează prelucrarea automată a datelor care o privesc, cel puţin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1);
b)după caz, rectificarea, ştergerea sau blocarea datelor a căror prelucrare nu respectă dispoziţiile prezentei directive, în special datorită caracterului incomplet sau inexact a datelor;
c)notificare terţilor cărora le-au fost comunicate datele cu privire la orice rectificare, ştergere sau blocare efectuată în conformitate cu litera (b), dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat.
Art. 13: Excepţii şi restricţii
(1)Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligaţiilor şi drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 şi articolul 21, dacă o astfel de restricţie constituie o măsură necesară pentru a proteja:
a)securitatea statului;
b)apărarea;
c)siguranţa publică;
d)prevenirea, investigarea, detectarea şi punerea sub urmărire a infracţiunilor sau a încălcării eticii în cazul profesiunilor reglementate;
e)un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar şi fiscal;
f)o funcţie de monitorizare, inspecţie sau de reglementare legată, chiar şi ocazional, de exercitarea autorităţii publice în cazurile menţionate la literele (c), (d) şi (e);
g)protecţia persoanei vizate sau a drepturilor şi libertăţilor altora.
(2)Sub rezerva garanţiilor legale corespunzătoare, în special în sensul că datele nu sunt folosite pentru luarea unor măsuri sau decizii împotriva unei anumite persoane, statele membre pot, în cazul în care nu există în mod clar riscuri de încălcare a vieţii private a persoanei vizate, să restrângă printr-o măsură legislativă drepturile prevăzute la articolul 12 atunci când datele sunt prelucrate exclusiv în scopul cercetării ştiinţifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depăşeşte perioada necesară în scopul unic de realizare a statisticilor.
Art. 14: Dreptul de opoziţie al persoanei vizate
Statele membre acordă persoanei vizate dreptul:
a)cel puţin în cazurile prevăzute în articolul 7 literele (e) şi (f), să se opună în orice moment, din considerente întemeiate şi legitime legate de situaţia sa particulară, prelucrării datelor în cauză, exceptând cazul când dreptul intern prevede altfel.
Dacă opoziţia este justificată, prelucrarea efectuată de operator nu se mai aplică acestor date;
b)de a se opune, la cerere şi gratuit, prelucrării datelor cu caracter personal care o privesc de către operator în scopul prospectării sau de a fi informat înainte ca datele cu caracter personal să fie comunicate pentru prima dată terţilor în scopul prospectării şi de a i se oferi în mod expres dreptul de a se opune, gratuit, unei astfel de comunicări sau utilizări.
Statele membre iau toate măsurile necesare pentru a garanta că persoanele vizate au cunoştinţă de existenţa dreptului prevăzut la litera (b) primul paragraf.
Art. 15: Decizii individuale automatizate
(1)Statele membre recunosc fiecărei persoane dreptul de a nu face obiectul unei decizii care să producă efecte juridice asupra sa ori să o afecteze în mod semnificativ şi care să fie întemeiată numai pe prelucrarea automatizată a datelor destinată să evalueze anumite aspecte personalităţii sale, cu ar fi randamentul profesional, credibilitatea, încrederea pe care o prezintă, conduita etc.
(2)Sub rezerva altor dispoziţii din prezenta directivă, statele membre prevăd că o persoană poate face obiectul unei decizii de felul celei menţionate la alineatul (1) dacă o astfel de decizie:
a)este luată în cursul încheierii sau executării unui contract, cu condiţia ca cererea de încheiere sau de executare a contractului introdusă de persoana vizată să fi fost satisfăcută sau ca unele măsurile adecvate, cum ar fi posibilitatea de a-şi susţine punctul de vedere, să garanteze apărarea interesului său legitim sau
b)este autorizată printr-un act cu putere de lege care stabileşte măsurile de garantare a apărării interesului legitim al persoanei vizate.
Art. 16: Confidenţialitatea prelucrărilor
Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de către operator, inclusiv persoana împuternicită, care are acces la datele cu caracter personal nu trebuie să le prelucreze decât la instrucţiunile operatorului, cu excepţia cazului în care este obligat prin lege.
Art. 17: Securitatea prelucrărilor
(1)Statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice şi organizatorice de protecţie adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o reţea, precum şi împotriva oricărei alte forme de prelucrare ilegală.
Având în vedere cele mai noi tehnici din sector şi costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor de protejat.
(2)Statele membre prevăd ca operatorul, dacă prelucrarea este efectuată pe seama sa, să aleagă o persoană care să prezintă suficiente garanţii referitoare la măsurile de securitate tehnică şi de organizare privind prelucrarea care urmează să fie efectuată şi să vegheze la respectarea acestor măsuri.
(3)Efectuarea prelucrărilor prin persoane împuternicite trebuie să fie reglementată printr-un contract sau act juridic care leagă persoana împuternicită de operator şi care prevede, în special, că:
- persoana împuternicită acţionează numai la instrucţiunile operatorului;
- obligaţiile prevăzute în alineatul (1), aşa cum sunt definite de legislaţia statului membru în care este stabilită persoana împuternicită, îi revin şi acesteia.
(4)În scopul păstrării probelor, elementele contractului sau actului juridic care se referă la protecţia datelor şi la cerinţele referitoare la măsurile prevăzute în alineatul (1) se consemnează în scris sau în altă formă echivalentă.
Art. 18: Obligaţia de a notifica autoritatea de supraveghere
(1)Statele membre prevăd notificarea de către operator sau, dacă este cazul, de către persoana împuternicită a autorităţii de supraveghere prevăzute în articolul 28 înainte de efectuarea prelucrării total sau parţial automatizate destinate să servească unui scop sau mai multor scopuri legate între ele.
(2)Statele membre nu pot să prevadă simplificarea notificării sau a derogării de la această obligaţie decât în cazurile şi în condiţiile următoare:
- atunci când, pentru categoriile de prelucrări care, ţinând seama de datele de prelucrat, nu pot să aducă atingere drepturilor şi libertăţilor persoanelor vizate, precizează scopul prelucrărilor, datele sau categoriile de date supuse prelucrării, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cărora le sunt comunicate şi perioada de stocare a datelor şi/sau
- atunci când operatorul, în conformitate cu dreptul intern căruia i se supune, numeşte un funcţionar pentru protecţia datelor cu caracter personal, responsabil în special:
- de asigurarea în mod independent a aplicării interne a dispoziţiilor de drept intern adoptate în temeiul prezentei directive;
- de păstrarea registrului cu prelucrările efectuate de operator, conţinând informaţiile prevăzute în articolul 21 alineatul (2),
şi garantând astfel că prelucrările nu pot să aducă atingere drepturilor şi libertăţilor persoanelor vizate.
(3)Statele membre pot prevedea ca alineatul (1) să nu se aplice prelucrărilor al căror unic scop este păstrarea unui registru care, conform actelor cu putere de lege şi normelor administrative, să furnizeze informaţii publicului şi este deschis spre consultare publicului sau oricărei persoane care demonstrează un interes legitim.
(4)Statele membre pot prevedea o derogare de la obligaţia de notificare sau o simplificare a notificării prelucrările prevăzute în articolul 8 alineatul (2) litera (d).
(5)Statele membre pot stipula ca toate sau anumite prelucrări neautomatizate ale datelor cu caracter personal să fie notificate sau să facă obiectul unei notificări simplificate.
Art. 19: Conţinutul notificării
(1)Statele membre precizează informaţiile care urmează să fie prezentate în notificare. Acestea cuprind cel puţin:
a)numele şi adresa operatorului şi a persoanei împuternicite, dacă este cazul;
b)scopul sau scopurile prelucrării;
c)o descriere a categoriei sau categoriilor de persoane vizate şi a datelor sau categoriilor de date privitoare la acestea;
d)destinatarii sau categoriile de destinatari cărora li se pot comunica datele;
e)propunerile de transferuri de date către ţări terţe;
f)o descriere generală care să permită o evaluare preliminară a caracterului adecvat al măsurilor luate în temeiul articolului 17 pentru a asigura securitatea prelucrării.
(2)Statele membre precizează procedurile de notificare către autoritatea de supraveghere a oricărei schimbări care afectează informaţiile prevăzute în alineatul (1).
Art. 20: Controlul prealabil
(1)Statele membre precizează care sunt prelucrările care pot prezenta riscuri specifice în ceea ce priveşte drepturile şi libertăţile persoanelor vizate şi veghează ca aceste prelucrări să fie examinate înainte de a le pune în practică.
(2)Astfel de verificări prealabile se efectuează de către autoritatea de supraveghere după primirea unei notificări de la operator sau de către funcţionarul responsabil de protecţia datelor care, în caz de dubiu, trebuie să consulte autoritatea de supraveghere.
(3)Statele membre pot, de asemenea, întreprinde astfel de verificări în contextul elaborării fie a unei măsuri a parlamentului naţional, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care să definească natura prelucrării şi să stabilească garanţiile adecvate.
Art. 21: Publicitatea prelucrărilor
(1)Statele membre iau măsuri pentru a asigura publicitatea prelucrărilor.
(2)Statele membre prevăd ca autoritatea de supraveghere să ţină un registru cu prelucrările notificate în conformitate cu articolul 18.
Registrul conţine cel puţin informaţiile enumerate în articolul 19 alineatul (1) literele (a)-(e).
Registrul poate fi consultat de orice persoană.
(3)În ceea ce priveşte prelucrările nesupuse notificării, statele membre prevăd punerea la dispoziţie oricărei persoane, la cerere de către operator sau de altă autoritate desemnată de statele membre, cel puţin a informaţiilor menţionate la articolul 19 alineatul (1) literele (a)-(e), într-o formă adecvată.
Statele membre prevăd ca prezenta dispoziţie să nu se aplice prelucrărilor care au ca obiect unic ţinerea unui registru care, în conformitate cu dispoziţiile legale şi de reglementare, este destinat să furnizeze informaţii publicului şi este deschis spre consultare atât publicului, cât şi oricărei alte persoane care face dovada unui interes legitim.