CAMERA DEPUTAŢILOR
L E G E
privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor)
Camera Deputaţilor adoptă prezentul proiect de lege.
CAPITOLUL I
Dispoziţii generale
Obiectul legii
Art. 1. – Prezenta lege stabileşte măsurile necesare punerii în aplicare la nivel naţional, în principal, a prevederilor art. 9 alin. (4), art. 37 – 39, 42, 43, 83 alin. (7), art. 85, 87 – 89 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC, publicat în Jurnalul Oficial al Uniunii Europene seria L nr. 119 din 4 mai 2016, denumit în continuare Regulamentul general privind protecţia datelor.
Definiţii
Art. 2. – (1) În aplicarea Regulamentului general privind protecţia datelor şi al prezentei legi, termenii şi expresiile de mai jos se definesc după cum urmează:
a) autorităţi şi organisme publice – Camera Deputaţilor şi Senatul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de specialitate ale administraţiei publice centrale, autorităţile şi instituţiile publice autonome, autorităţile administraţiei publice locale şi de la nivel judeţean, alte autorităţi publice, precum şi instituţiile din subordinea/coordonarea acestora;
b) număr de identificare naţional – numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială de sănătate;
c) plan de remediere – anexă la procesul-verbal de constatare şi sancţonare a contravenţei întocmit în condiţile prevăzute la art. 11, prin care Autoritatea Naţonală de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, stabileşte măsuri şi un termen de remediere;
d) măsură de remediere – soluţe dispusă de ANSPDCP în planul de remediere în vederea îndeplinirii de către autoritatea/organismul public a obligaţilor prevăzute de lege;
e) termen de remediere – perioada de timp cuprinsă între 60 şi 180 de zile de la data comunicării procesului-verbal de constatare şi sancţonare a contravenţei, în care autoritatea/organismul public are posibilitatea remedierii neregulilor constatate şi îndeplinirii obligaţilor legale.
(2) În cuprinsul prezentei legi sunt, de asemenea, aplicabile definiţiile prevăzute la art. 4 din Regulamentul general privind protecţia datelor.
CAPITOLUL II
Reguli speciale privind prelucrarea unor categorii de date cu caracter personal
Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea
Art. 3. – (1) Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimţământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziţi legale exprese, cu instituirea unor măsuri corespunzătoare.
(2) Prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătăţii publice, astfel cum este definită în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă nu se poate efectua ulterior, în alte scopuri, de către terţe entităţi.
Prelucrarea unui număr de identificare naţional
Art. 5. – În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa şi
e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
CAPITOLUL III
Derogări
Prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare
Art. 6. – În vederea asigurării unui echilibru între dreptul la protecţia datelor cu caracter personal, libertatea de exprimare şi dreptul la informaţie, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecţia datelor:
a) capitolul II – Principii;
b) capitolul III – Drepturile persoanei vizate;
c) capitolul IV – Operatorul şi persoana împuternicită de operator;
d) capitolul V – Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
e) capitolul VI – Autorităţi de supraveghere independente;
f) capitolul VII – Cooperare şi coerenţă;
g) capitolul IX – Dispoziţii referitoare la situaţii specifice de prelucrare.
Prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public
Art. 7. – (1) Prevederile art. 15, 16, 18 şi 21 din Regulamentul general privind protecţia datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică ori scopuri statistice, în măsura în care drepturile menţionate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar aceste derogări sunt necesare pentru îndeplinirea acestor scopuri.
(2) Prevederile art. 15, 16, 18, 19, 20 şi 21 din Regulamentul general privind protecţia datelor nu se aplică în cazul în care datele cu caracter
personal sunt prelucrate în scopuri de arhivare în interes public, în măsura în care drepturile menţionate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar aceste derogări sunt necesare pentru îndeplinirea acestor scopuri.
(3) Derogările prevăzute la alin. (1) şi (2) sunt aplicabile numai sub rezerva existenţei garanţiilor corespunzătoare pentru drepturile şi libertăţile persoanelor vizate, prevăzute de art. 89 alin. (1) din Regulamentul general privind protecţia datelor.
(4) În cazul în care prelucrarea menţionată la alin. (1) şi (2) serveşte în acelaşi timp şi altui scop, derogările se aplică numai prelucrării în scopurile menţionate la alineatele respective.
CAPITOLUL IV
Responsabilul cu protecţia datelor
Desemnarea şi sarcinile responsabilului cu protecţia datelor
Art. 8. – (1) Operatorii şi persoanele împuternicite de operator desemnează un responsabil cu protecţia datelor în situaţiile şi condiţiile prevăzute de art. 37 – 39 din Regulamentul general privind protecţia datelor.
(2) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, astfel cum este definit la art. 2 alin. (1) lit. a), poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.
(3) Activitatea şi sarcinile responsabilului cu protecţia datelor se realizează cu respectarea art. 38 şi 39 din Regulamentul general privind protecţia datelor şi a reglementărilor legale naţionale aplicabile.
CAPITOLUL V
Organisme de certificare
Acreditarea organismelor de certificare
Art. 9. – (1) Acreditarea organismelor de certificare prevăzute de art. 43 din Regulamentul general privind protecţia datelor se realizează de Asociaţia de Acreditare din România – RENAR, în calitate de organism naţional de acreditare, în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93, precum şi în conformitate cu Ordonanţa Guvernului nr. 23/2009 privind activitatea de acreditare a organismelor de evaluare a conformităţii, aprobată cu modificări prin Legea nr. 256/2011.
(2) Organismele de certificare vor fi acreditate potrivit reglementărilor legale aplicabile, în conformitate cu standardul EN-ISO/IEC 17065 şi cu cerinţele suplimentare stabilite de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, precum şi cu respectarea art. 43 din Regulamentul general privind protecţia datelor.
CAPITOLUL VI
Măsuri corective şi sancţiuni
Dispoziţii generale privind măsuri corective şi sancţiuni
Art. 10. – (1) Încălcarea dispoziţiilor enumerate la art. 83 alin. (4) – (6) din Regulamentul general privind protecţia datelor constituie contravenţie.
(2) Sancţiunile contravenţionale principale sunt avertismentul scris şi amenda contravenţională.
(3) Încălcarea prevederilor art. 3 – 7 din prezenta lege constituie contravenţie şi se sancţionează în condiţiile prevăzute de art. 83 alin. (5) din Regulamentul general privind protecţia datelor.
(4) Constatarea contravenţiilor prevăzute de prezenta lege şi aplicarea sancţiunilor contravenţionale, precum şi a celorlalte măsuri corective prevăzute de art. 58 din Regulamentul general privind protecţia datelor se fac de Autoritatea naţională de supraveghere, în conformitate cu dispoziţiile Regulamentului general privind protecţia datelor, ale Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările ulterioare, şi ale prezentei legi.
Aplicarea măsurilor corective autorităţilor şi organismelor publice
Art. 11. – (1) În cazul constatării încălcării prevederilor Regulamentului general privind protecţa datelor şi ale prezentei legi de către autorităţle/organismele publice, ANSPDCP încheie un proces-verbal de constatare şi sancţonare a contravenţei prin care se aplică sancţunea mustrării şi la care anexează un plan de remediere.
(2) Termenul de remediere se stabileşte în funcţe de riscurile asociate prelucrării, precum şi demersurile necesar a fi îndeplinite pentru asigurarea conformităţi prelucrării.
(3) În termen de 10 zile de la data expirării termenului de remediere, ANSPDCP poate să reia controlul.
(4) În cazul în care autoritatea/organismul public constată că nu poate îndeplini în termenul stabilit, din motive întemeiate, o parte din măsurile dispuse prin planul de remediere, notifică ANSPDCP cu privire la acest aspect cu cel puţn 10 zile înainte de expirarea termenului, putând solicita totodată prelungirea termenului iniţal.
(5) ANSPDCP analizează solicitarea de prelungire a termenului şi comunică răspunsul autorităţi/organismului public în termen de 7 zile de la primirea cererii.
(6) Dacă ANSPDCP consideră justificată cererea autorităţi/organismului public poate prelungi
termenul de remediere cu până la 30 de zile. În caz contrar, se aplică prevederile de la alin. (3).
(7) Responsabilitatea îndeplinirii măsurilor de remediere revine autorităţi/organismului public care, potrivit legii, poartă răspunderea contravenţonală pentru faptele constatate.
(8) Modelul planului de remediere care se anexează la procesul-verbal de constatare şi sancţonare a contravenţei este prevăzut în anexa Plan de remediere, care face parte integrantă din prezenta lege.
Constatarea contravenţiilor şi aplicarea de sancţiuni autorităţilor şi organismelor publice
Art. 12. – (1) Dacă în urma controlului prevăzut la art. 11 alin. (3) se constată faptul că autorităţle/organismele publice nu au adus la îndeplinire în totalitate măsurile prevăzute în planul de remediere, ANSPDCP, în funcţe de circumstanţele fiecărui caz în parte, poate aplica sancţunea contravenţonală a amenzii, cu luarea în considerare a criteriilor prevăzute de art. 83 alin. (2) din Regulamentul general privind protecţa datelor.
(2) Constituie contravenţe încălcarea de către autorităţle/organismele publice, a următoarelor dispoziţi din Regulamentul general privind protecţa datelor, referitoare la:
a) obligaţiile operatorului şi ale persoanei împuternicite de operator în conformitate cu art. 8, 11, 25 – 39, 42 şi 43;
b) obligaţiile organismului de certificare în conformitate cu art. 42 şi 43;
c) obligaţiile organismului de monitorizare în conformitate cu art. 41 alin. (4).
(3) Constituie contravenţe încălcarea de către autorităţle/organismele publice, a dispoziţilor art. 3 – 7 din prezenta lege.
(4) Contravenţile prevăzute la alin. (2) şi (3) se sancţonează cu amendă de la 10.000 de lei până la 100.000 lei.
(5) Constituie contravenţe încălcarea, de către autorităţle/organismele publice, a următoarelor dispoziţi din Regulamentul general privind protecţa datelor, referitoare la:
a) principiile de bază pentru prelucrare, inclusiv condiţiile privind consimţământul, în conformitate cu art. 5, 6, 7 şi 9;
b) drepturile persoanelor vizate în conformitate cu art. 12 – 22;
c) transferurile de date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională, în conformitate cu art. 44 – 49;
d) orice obligaţii în temeiul legislaţiei naţionale adoptate în temeiul capitolului IX;
e) nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către ANSPDCP în temeiul art. 58 alin. (2), sau neacordarea accesului, prin încălcarea dispoziţilor art. 58 alin. (1).
(6) Prin derogare de la art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţile prevăzute la alin. (5) se sancţonează cu amendă de la 10.000 de lei până la 200.000 lei.
(7) Constituie contravenţe încălcarea de către autorităţle/organismele publice a unei decizii emise de ANSPDCP în conformitate cu art. 58 alin. (2) coroborat cu art. 83 alin. (2) din Regulamentul general privind protecţa datelor.
(8) Prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţile prevăzute la alin. (7) se sancţionează cu amendă de la 10.000 de lei până la 200.000 lei.
Art. 13. – Prezenta lege intră în vigoare la 5 zile de la data publicării în Monitorul Oficial al României, Partea I.
Acest proiect de lege a fost adoptat de Camera Deputaţilor în şedinţa din 9 mai 2018, cu respectarea prevederilor art. 76 alin. (1) din Constituţia României, republicată.
p. PREŞEDINTELE CAMEREI DEPUTAŢILOR
CARMEN – ILEANA MIHĂLCESCU
INFO:
Legea privind aplicarea GDPR nu se aplica decat in momentul in care este publicata in Monitorul Oficial.