Legea nr. 190 din 18 iulie 2018 privind masuri de punere in aplicare a GDPR

Legea nr. 190 din 18 iulie 2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), publicata in Monitorul Oficial nr. 651 din 26 iulie 2018

Parlamentul Romaniei adopta prezenta lege.
CAPITOLUL I
Dispozitii generale

Art. 1: Obiectul legii
Prezenta lege stabileste masurile necesare punerii in aplicare la nivel national, in principal, a prevederilor art. 6 alin. (2), art. 9 alin. (4), art. 37-39, 42, 43, art. 83 alin. (7), art. 85 si ale art. 87-89 din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date si de abrogare a Directivei 95/46/CE, publicat in Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016, denumit in continuare Regulamentul general privind protectia datelor.

Art. 2: Definitii
(1) In aplicarea Regulamentului general privind protectia datelor si a prezentei legi, termenii si expresiile de mai jos se definesc dupa cum urmeaza:
a) autoritati si organisme publice - Camera Deputatilor si Senatul, Administratia Prezidentiala, Guvernul, ministerele, celelalte organe de specialitate ale administratiei publice centrale, autoritatile si institutiile publice autonome, autoritatile administratiei publice locale si deja nivel judetean, alte autoritati publice, precum si institutiile din subordinea/coordonarea acestora. In sensul prezentei legi, sunt asimilate autoritatilor/organismelor publice si unitatile de cult si asociatiile si fundatiile de utilitate publica;
b) numar de identificare national - numarul prin care se identifica o persoana fizica in anumite sisteme de evidenta si care are aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, al permisului de conducere, numarul de asigurare sociala de sanatate;
c) plan de remediere - anexa la procesul-verbal de constatare si sanctionare a contraventiei, intocmit in conditiile prevazute la art. 11, prin care Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare Autoritatea nationala de supraveghere, stabileste masuri si un termen de remediere;
d) masura de remediere - solutie dispusa de Autoritatea nationala de supraveghere in planul de remediere in vederea indeplinirii de catre autoritatea/organismul public a obligatiilor prevazute de lege;
e) termen de remediere - perioada de timp de cel mult 90 de zile de la data comunicarii procesului-verbal de constatare si sanctionare a contraventiei, in care autoritatea/organismul public are posibilitatea remedierii neregulilor constatate si indeplinirii obligatiilor legale;
f) indeplinirea unei sarcini care serveste unui interes public - include acele activitati ale partidelor politice sau ale organizatiilor cetatenilor apartinand minoritatilor nationale, ale organizatiilor neguvernamentale, care servesc realizarii obiectivelor prevazute de dreptul constitutional sau de dreptul international public ori functionarii sistemului democratic, incluzand incurajarea participarii cetatenilor in procesul de luare a deciziilor si a pregatirii politicilor publice, respectiv promovarea principiilor si valorilor democratiei.
(2) In cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art. 4 din Regulamentul general privind protectia datelor.

CAPITOLUL II
Reguli speciale privind prelucrarea unor categorii de date cu caracter personal

Art. 3: Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sanatatea
(1) Prelucrarea datelor genetice, biometrice sau a datelor privind sanatatea, in scopul realizarii unui proces decizional automatizat sau pentru crearea de profiluri, este permisa cu consimtamantul explicit al persoanei vizate sau daca prelucrarea este efectuata in temeiul unor dispozitii legale exprese, cu instituirea unor masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate.
(2) Prelucrarea datelor privind sanatatea realizata in scopul asigurarii sanatatii publice, astfel cum este definita in Regulamentul (CE) nr. 1.338/2008 al Parlamentului European si al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sanatatea publica, precum si la sanatatea si siguranta la locul de munca, publicat in Jurnalul Oficial al Uniunii Europene, seria L, nr. 354/70 din 31 decembrie 2008, nu se poate efectua ulterior, in alte scopuri, de catre terte entitati.

Art. 4: Prelucrarea unui numar de identificare national
(1) Prelucrarea unui numar de identificare national, inclusiv prin colectarea sau dezvaluirea documentelor ce il contin, se poate efectua in situatiile prevazute de art. 6 alin. (1) din Regulamentul general privind protectia datelor.
(2) Prelucrarea unui numar de identificare national, inclusiv prin colectarea sau dezvaluirea documentelor ce il contin, in scopul prevazut la art. 6 alin. (1) lit. f) din Regulamentul general privind protectia datelor, respectiv al realizarii intereselor legitime urmarite de operator sau de o parte terta, se efectueaza cu instituirea de catre operator a urmatoarelor garantii:
a) punerea in aplicare de masuri tehnice si organizatorice adecvate pentru respectarea, in special, a principiului reducerii la minimum a datelor, precum si pentru asigurarea securitatii si confidentialitatii prelucrarilor de date cu caracter personal, conform dispozitiilor art. 32 din Regulamentul general privind protectia datelor;
b) numirea unui responsabil pentru protectia datelor, in conformitate cu prevederile art. 10 din prezenta lege;
c) stabilirea de termene de stocare in functie de natura datelor si scopul prelucrarii, precum si de termene specifice in care datele cu caracter personal trebuie sterse sau revizuite in vederea stergerii;
d) instruirea periodica cu privire la obligatiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, prelucreaza date cu caracter personal.

Art. 5: Prelucrarea datelor cu caracter personal in contextul relatiilor de munca
In cazul in care sunt utilizate sisteme de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca, prelucrarea datelor cu caracter personal ale angajatilor, in scopul realizarii intereselor legitime urmarite de angajator, este permisa numai daca:
a) interesele legitime urmarite de angajator sunt temeinic justificate si prevaleaza asupra intereselor sau drepturilor si libertatilor persoanelor vizate;
b) angajatorul a realizat informarea prealabila obligatorie, completa si in mod explicit a angajatilor;
c) angajatorul a consultat sindicatul sau, dupa caz, reprezentantii angajatilor inainte de introducerea sistemelor de monitorizare;
d) alte forme si modalitati mai putin intruzive pentru atingerea scopului urmarit de angajator nu si-au dovedit anterior eficienta; si
e) durata de stocare a datelor cu caracter personal este proportionala cu scopul prelucrarii, dar nu mai mare de 30 de zile, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Art. 6: Prelucrarea datelor cu caracter personal si de categorii speciale de date cu caracter personal, in contextul indeplinirii unei sarcini care serveste unui interes public
In cazul in care prelucrarea datelor personale si speciale este necesara pentru indeplinirea unei sarcini care serveste unui interes public conform art. 6 alin. (1) lit. e) si art. 9 lit. g) din Regulamentul general privind protectia datelor se efectueaza cu instituirea de catre operator sau de catre partea terta a urmatoarelor garantii:
a) punerea in aplicare a masurilor tehnice si organizatorice adecvate pentru respectarea principiilor enumerate la art. 5 din Regulamentul general privind protectia datelor, in special a reducerii la minimum a datelor, respectiv a principiului integritatii si confidentialitatii;
b) numirea unui responsabil pentru protectia datelor, daca aceasta este necesara in conformitate cu art. 10 din prezenta lege;
c) stabilirea de termene de stocare in functie de natura datelor si scopul prelucrarii, precum si de termene specifice in care datele cu caracter personal trebuie sterse sau revizuite in vederea stergerii.

CAPITOLUL III
Derogari

Art. 7: Prelucrarea datelor cu caracter personal in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare
In vederea asigurarii unui echilibru intre dreptul la protectia datelor cu caracter personal, libertatea de exprimare si dreptul la informatie, prelucrarea in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare poate fi efectuata, daca aceasta priveste date cu caracter personal care au fost facute publice in mod manifest de catre persoana vizata sau care sunt strans legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor in care este implicata, prin derogare de la urmatoarele capitole din Regulamentul general privind protectia datelor:
a) capitolul II - Principii;
b) capitolul III - Drepturile persoanei vizate;
c) capitolul IV - Operatorul si persoana imputernicita de operator;
d) capitolul V - Transferurile de date cu caracter personal catre tari terte sau organizatii internationale;
e) capitolul VI - Autoritati de supraveghere independente;
f) capitolul VII - Cooperare si coerenta;
g) capitolul IX - Dispozitii referitoare la situatii specifice de prelucrare.

Art. 8: Prelucrarea datelor cu caracter personal in scopuri de cercetare stiintifica sau istorica, in scopuri statistice ori in scopuri de arhivare in interes public
(1) Prevederile art. 15, 16, 18 si 21 din Regulamentul general privind protectia datelor nu se aplica in cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare stiintifica sau istorica, in masura in care drepturile mentionate la aceste articole sunt de natura sa faca imposibila sau sa afecteze in mod grav realizarea scopurilor specifice, iar derogarile respective sunt necesare pentru indeplinirea acestor scopuri.
(2) Prevederile art. 15, 16, 18, 19, 20 si 21 din Regulamentul general privind protectia datelor nu se aplica in cazul in care datele cu caracter personal sunt prelucrate in scopuri de arhivare in interes public, in masura in care drepturile mentionate la aceste articole sunt de natura sa faca imposibila sau sa afecteze in mod grav realizarea scopurilor specifice, iar aceste derogari sunt necesare pentru indeplinirea acestor scopuri.
(3) Derogarile prevazute la alin. (1) si (2) sunt aplicabile numai sub rezerva existentei garantiilor corespunzatoare pentru drepturile si libertatile persoanelor vizate, prevazute la art. 89 alin. (1) din Regulamentul general privind protectia datelor.
(4) In cazul in care prelucrarea mentionata la alin. (1) si (2) serveste in acelasi timp si altui scop, derogarile se aplica numai prelucrarii in scopurile mentionate la alineatele respective.

Art. 9. – (1) In vederea asigurarii proportionalitatii si a unui echilibru intre dreptul la protectia datelor cu caracter personal si a datelor speciale si prelucrarea unor astfel de date de catre partidele politice si organizatiile cetatenilor apartinand minoritatilor nationale, organizatiilor neguvernamentale, se vor realiza urmatoarele garantii:
a) informarea persoanei vizate despre prelucrarea datelor cu caracter personal;
b) garantarea transparentei informatiilor, a comunicarilor si a modalitatilor de exercitare a drepturilor persoanei vizate;
c) garantarea dreptului de rectificare si stergere.
(2) Prelucrarea datelor cu caracter personal si special este permisa partidelor politice si organizatiilor cetatenilor apartinand minoritatilor nationale, organizatiilor neguvernamentale, in vederea realizarii obiectivelor acestora, fara consimtamantul expres al persoanei vizate, dar cu conditia sa se prevada garantiile corespunzatoare, mentionate la alineatul precedent.

CAPITOLUL IV
Responsabilul cu protectia datelor

Art. 10: Desemnarea si sarcinile responsabilului cu protectia datelor
(1) Operatorii si persoanele imputernicite de operator desemneaza un responsabil cu protectia datelor in situatiile si conditiile prevazute la art. 37-39 din Regulamentul general privind protectia datelor.
(2) In cazul in care operatorul sau persoana imputernicita de operator este o autoritate publica sau un organism public, astfel cum este definit la art. 2 alin. (1) lit. a), poate fi desemnat un responsabil cu protectia datelor, unic pentru mai multe dintre aceste autoritati sau organisme, luand in considerare structura organizatorica si dimensiunea acestora.
(3) Activitatea si sarcinile responsabilului cu protectia datelor se realizeaza cu respectarea prevederilor art. 38 si 39 din Regulamentul general privind protectia datelor si a reglementarilor legale nationale aplicabile.

CAPITOLUL V
Organisme de certificare

Art. 11: Acreditarea organismelor de certificare
(1) Acreditarea organismelor de certificare prevazute la art. 43 din Regulamentul general privind protectia datelor se realizeaza de Asociatia de Acreditare din Romania - RENAR, in calitate de organism national de acreditare, in conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European si al Consiliului din 9 iulie 2008 de stabilire a cerintelor de acreditare si de supraveghere a pietei in ceea ce priveste comercializarea produselor si de abrogare a Regulamentului (CEE) nr. 339/93, publicat in Jurnalul Oficial al Uniunii Europene, seria L, nr. 218 din 13 august 2008, precum si in conformitate cu Ordonanta Guvernului nr. 23/2009 privind activitatea de acreditare a organismelor de evaluare a conformitatii, aprobata cu modificari prin Legea nr. 256/2011.
(2) Organismele de certificare vor fi acreditate potrivit reglementarilor legale aplicabile, in conformitate cu standardul EN-ISO/IEC 17065 si cu cerintele suplimentare stabilite de Autoritatea nationala de supraveghere, precum si cu respectarea prevederilor art. 43 din Regulamentul general privind protectia datelor.

CAPITOLUL VI
Masuri corective si sanctiuni

Art. 12: Dispozitii generale privind masuri corective si sanctiuni
(1) Incalcarea dispozitiilor enumerate la art. 83 alin. (4)-(6) din Regulamentul general privind protectia datelor constituie contraventie.
(2) Sanctiunile contraventionale principale sunt avertismentul si amenda contraventionala.
(3) Incalcarea prevederilor art. 3-9 din prezenta lege constituie contraventie si se sanctioneaza in conditiile prevazute la art. 83 alin. (5) din Regulamentul general privind protectia datelor.
(4) Constatarea contraventiilor prevazute de prezenta lege si aplicarea sanctiunilor contraventionale, precum si a celorlalte masuri corective prevazute de art. 58 din Regulamentul general privind protectia datelor se fac de Autoritatea nationala de supraveghere, in conformitate cu dispozitiile Regulamentului general privind protectia datelor, ale Legii nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare, si ale prezentei legi.

Art. 13: Aplicarea masurilor corective autoritatilor si organismelor publice
(1) In cazul constatarii incalcarii prevederilor Regulamentului general privind protectia datelor si ale prezentei legi de catre autoritatile/organismele publice, Autoritatea nationala de supraveghere incheie un proces-verbal de constatare si sanctionare a contraventiei prin care se aplica sanctiunea avertismentului si la care anexeaza un plan de remediere.
(2) Termenul de remediere se stabileste in functie de riscurile asociate prelucrarii, precum si demersurile necesar a fi indeplinite pentru asigurarea conformitati prelucrarii.
(3) In termen de 10 zile de la data expirarii termenului de remediere, Autoritatea nationala de supraveghere poate sa reia controlul.
(4) Responsabilitatea indeplinirii masurilor de remediere revine autoritatii/organismului public care, potrivit legii, poarta raspunderea contraventionala pentru faptele constatate.
(5) Modelul planului de remediere care se anexeaza la procesul-verbal de constatare si sanctionare a contraventiei este prevazut in anexa Plan de remediere, care face parte integranta din prezenta lege.

Art. 14: Constatarea contraventiilor si aplicarea de sanctiuni autoritatilor si organismelor publice
(1) Daca in urma controlului prevazut la art. 13 alin. (3) se constata faptul ca autoritatile/organismele publice nu au adus la indeplinire in totalitate masurile prevazute in planul de remediere, Autoritatea nationala de supraveghere, in functie de circumstantele fiecarui caz in parte, poate aplica sanctiunea contraventionala a amenzii, cu luarea in considerare a criteriilor prevazute la art. 83 alin. (2) din Regulamentul general privind protectia datelor.
(2) Constituie contraventie incalcarea de catre autoritatile/organismele publice a urmatoarelor dispozitii din Regulamentul general privind protectia datelor, referitoare la:
a) obligatiile operatorului si ale persoanei imputernicite de operator in conformitate cu prevederile art. 8, art. 11, art. 25-39, art. 42 si 43;
b) obligatiile organismului de certificare in conformitate cu art. 42 si 43;
c) obligatiile organismului de monitorizare in conformitate cu art. 41 alin. (4).
(3) Constituie contraventie incalcarea de catre autoritatile/organismele publice a dispozitiilor art. 3-9 din prezenta lege.
(4) Contraventiile prevazute la alin. (2) si (3) se sanctioneaza cu amenda de la 10.000 lei pana la 100.000 lei.
(5) Constituie contraventie incalcarea de catre autoritatile/organismele publice a urmatoarelor dispozitii din Regulamentul general privind protectia datelor, referitoare la:
a) principiile de baza pentru prelucrare, inclusiv conditiile privind consimtamantul, in conformitate cu art. 5-7 si art. 9;
b) drepturile persoanelor vizate in conformitate cu art. 12-22;
c) transferurile de date cu caracter personal catre un destinatar dintr-o tara terta sau o organizatie internationala, in conformitate cu art. 44-49;
d) orice obligatii in temeiul legislatiei nationale adoptate in temeiul capitolului IX;
e) nerespectarea unei decizii sau a unei limitari temporare sau definitive asupra prelucrarii sau a suspendarii fluxurilor de date, emisa de catre Autoritatea nationala de supraveghere in temeiul art. 58 alin. (2), sau neacordarea accesului, prin incalcarea dispozitiilor art. 58 alin. (1).
(6) Prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanta Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare, contraventiile prevazute la alin. (5) se sanctioneaza cu amenda de la 10.000 lei pana la 200.000 lei.
(7) Constituie contraventie incalcarea de catre autoritatile/organismele publice a unei decizii emise de Autoritatea nationala de supraveghere in conformitate cu art. 58 alin. (2) coroborat cu art. 83 alin. (2) din Regulamentul general privind protectia datelor.
(8) Prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanta Guvernului nr. 2/2001, cu modificarile si completarile ulterioare, contraventiile prevazute la alin. (7) se sanctioneaza cu amenda de la 10.000 lei pana la 200.000 lei.

Art. 15. – In aplicarea prevederilor art. 58 alin. (2) lit. b) din Regulamentul general privind protectia datelor, art. 142 alin. (1) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 391 din 9 mai 2005, cu modificarile si completarile ulterioare, se modifica si va avea urmatorul cuprins:

"- Art. 142. – (1) Sanctiunile contraventionale principale pe care le aplica Autoritatea nationala de supraveghere, potrivit art. 58 alin. (2) lit. b) si i) din Regulamentul general privind protectia datelor, sunt avertismentul si amenda. Aplicarea amenzii se face in conditiile art. 83 din Regulamentul general privind protectia datelor."
Art. 16. – Prezenta lege intra in vigoare la 5 zile de la data publicarii in Monitorul Oficial al Romaniei, Partea I.

Aceasta lege a fost adoptata de Parlamentul Romaniei, cu respectarea prevederilor art. 75 si ale art. 76 alin. (1) din Constitutia Romaniei, republicata.
p. PRESEDINTELE CAMEREI DEPUTATILOR,
PETRU-GABRIEL VLASE
p. PRESEDINTELE SENATULUI,
IULIAN-CLAUDIU MANDA

ANEXA
Plan de remediere ziua ........ luna ...... anul ........ - Modul de indeplinire a masurilor de remediere
Nr.    Fapta savarsita    Masuri de remediere    Termen de remediere    Mod de indeplinire
                    
                    
                    
                    
Alte mentiuni
.......................................................................................................................
.......................................................................................................................
Agent constatator/
Persoana competenta,
.................................
(numele, prenumele, semnatura)    Contravenient
................................
(numele, prenumele, semnatura)
Stampila