Колекція перекладів

Настоящий закон принят парламентом Румынии.

1. Цель настоящего закона состоит в том, чтобы гарантировать и защитить основные права и свободы физических лиц, особенно право на личную, семейную и частную жизнь, при обработке персональных данных.

2. Осуществление прав, указанных в настоящем законе, не должно ограничиваться иначе, чем в специально оговоренных, строго ограниченных случаях, указанных в законе.

1. Настоящий закон применяется к обработке персональных данных, проводимой полностью или частично автоматизированными средствами, а также к обработке, проводимой иными, чем автоматизированные, средствами, которые являются частью или предназначены для использования в системе организации данных.

a. к обработке персональных данных, проводимой в рамках деятельности, которую осущестляют контролеры, расположенные в Румынии;

b. к обработке персональных данных, проводимой в рамках деятельности, которую осуществляют дипломатические миссии и консульства в Румынии;

c. к обработке персональных данных, проводимой в рамках деятельности, которую осуществляют контролеры, не являющиеся резидентами Румынии, и которые используют любого вида средства, расположенные на территории Румынии, за исключением случаев, когда такие средства используются исключительно для целей транзита через румынскую территорию персональных данных, подлежащих такой обработке.

3. В случае, упомянутом в пункте (2) подпункт c), контролер назначает представителя, который должен быть лицом, проживающим в Румынии. Положения настоящего закона, применяющиеся к контролеру, применимы также и к его представителю, причем это не исключает возможности подачи жалобы в суд непосредственно на контролера.

4. Настоящий закон применяется к обработке персональных данных, которая проводится физическими и юридическими лицами, гражданами Румынии и иностранцами, субъектами публичного и частного права как в общественном, так и в частном секторе.

5. В пределах своей юрисдикции настоящий закон также применим к обработке и передаче персональных данных, которая осуществляется в рамках действий по предупреждению, расследованию и преследованию уголовных преступлений и обеспечению правопорядка, а также к иным действиям, производимым в сфере уголовного права, с учетом пределов и ограничений, указанных законом.

6. Настоящий закон не применяется к обработке персональных данных, которая проводится физическими лицами исключительно для собственных целей, если такие данные не предназначаются для раскрытия.

7. Настоящий закон не применяется к обработке и передаче персональных данных, которая проводится в рамках действий по обеспечению национальной обороны и безопасности, с учетом пределов и ограничений, указанных законом.

8. Положения настоящего закона не должны нарушать обязательства, принятые на себя Румынией в силу ратификацированных международных соглашений.

В настоящем законе приводимые ниже термины означают следующее:

a. Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое лицо есть лицо, которое можно прямо или косвенно идентифицировать, в частности по идентификационному номеру либо по одной или более характерных черт физических, физиологических, экономических, культурных или социальных особенностей такого лица.

b. Обработка персональных данных есть любая операция или набор операций, которые производятся с персональными данными посредством автоматизированных или неавтоматизированных средств, а именно сбор, запись, организация, хранение, адаптация или изменение, поиск, просмотр (сверка), использование, раскрытие третьим лицам путем передачи, распростанения или иным путем, комбинирование или сравнение, блокировка, удаление или уничтожение;

c. Хранение – содержание собранных персональных данных на любом виде носителя;

d. Система организации персональных данных – любая упорядоченная структура персональных данных, в которых данные расположены в соответствии с определенными критериями, независимо от того, организована ли такая структура централизованно или нецентрализованно и распределяется ли по функциональным или географическим критериям.

e. Контролер – любое физическое или юридическое лицо либо субъект частного или публичного права, включая органы власти, учреждения и аналогичные территориальные структуры, которое устанавливает цели и методы обработки персональных данных; если цели и методы обработки персональных данных устанавливаются законодательным актом или на основании законодательного акта, то контролер – это любое физическое или юридическое лицо, субъект частного или публичного права, которое назначается в качестве контролера соответствующим законодательным актом или на основании соответствующего законодательного акта;

f. Лицо, уполномоценное контролером, (обработчик) – любое физическое или юридического лицо, субъект частного или публичного права, включая органы власти, учреждения и аналогичные территориальные структуры, которое обрабатывает персональные данные по поручению контролера;

g. Третье лицо – любое физическое или юридическое лицо, субъект частного или публичного права, включая органы власти, учреждения или аналогичные территориальные структуры, кроме субъекта данных, контролера или обработчика либо лиц, имеющих от контролера или обработчика прямое разрешение на обработку данных;

h. Получатель – любое физическое или юридическое лицо, субъект частного или публичного права, включая органы власти, учреждения и аналогичные территориальные структуры, которым раскрываются данные либо напрямую, либо через третьих лиц; ведомства, которые получают данные в рамках своей особой следственной компетенции, не считаются получателем.

i. Анонимные данные – данные, которые вследствие особого источника или способа обработки нельзя связать с идентифицированным или идентифицируемым лицом.

Глава II: Общие правила в отношении обработки персональных данных

Статья 4: Характеристики персональных данных

1. Предназначенные для обработки персональные данные должны:

a. обрабатываться добросовестно и в соответствии с законом;

b. собираться для конкретных, ясных и законных целей; дальнейшая обработка персональных данных в статистических либо исторических или научных целях не будет считаться не совместимой с целью сбора, если она будет соответствовать положениям настоящего Закона, включая положения об уведомлении надзорного ведомства, а также соответствовать гарантиям, которые предусмотрены положениями, регулирующими обработку персональных данных для целей статистики либо исторических или научных исследований;

c. быть достаточными, уместными и не чрезмерными по отношению к цели, ради которой они собираются и затем обрабатываются;

d. быть точными и, при необходимости, обновленными; в этих целях должны быть приняты необходимые меры для удаления и исправления неточных или неполных данных по отношению к цели, ради которой они собирались и в дальнейшем будут обрабатываться;

e. храниться таким образом, чтобы идентификация субъекта данных была возможна строго в течение периода времени, необходимого для достижения цели, ради которой данные собирались и в дальнейшем будут обрабатываться; хранение данных в течение более длительного срока для целей статистики либо исторических или научных исследований возможно при соблюдении гарантий в отношении обработки персональных данных, которые предписаны регулирующими эту сферу законодательными актами, и только на период времени, необходимый для этих целей.

2. Контролеры обязаны соблюдать положения пункта (1) и обеспечить их выполнение обработчиком.

Статья 5: Условия законности при обработке данных

1. Любая обработка персональных данных, за исключением видов обработки, упомянутых в статье 7(1), статьях 8 и 10, может проводиться, только если субъект данных дал свое положительно выраженное и однозначное согласие на такую обработку.

2. Согласие субъекта данных не требуется в следующих случаях:

a. когда обработка необходима для осуществления договора или предварительного договора, стороной которого является субъект данных, либо для принятия действий по просьбе субъекта данных для заключения договора или предварительного договора;

b. когда обработка необходима для защиты жизни или здоровья субъекта данных либо иного подвергающегося опасности лица;

c. когда обработка необходима для исполнения юридического обязательства контролера;

d. когда обработка необходима для принятия мер в интересах общества либо связана с осуществлением властных полномочий, возложенных на контролера или на третье лицо, которому раскрываются данные;

e. когда обработка необходима для обеспечения законных интересов контролера или третьего лица, которому раскрываются данные, при условии что эти интересы не противоречат интересам и основым правам и свободам субъекта данных;

f. когда обработка относится к данным, которые почерпнуты из документов, находящихся в открытом доступе на законных основаниях;

g. когда обработка производится исключительно для целей статистики и исторических или научных исследований, и данные остаются анонимными в течение всего периода обработки.

3. Положения пункта (2) не имеют приоритета перед правовыми положениями, регулирующими обязательства государственных органов по уважению и защите личной, семейной и частной жизни.

1. По окончании операций по обработке, если субъект данных не дал положительно выраженного и однозначного согласия на иное предназначение обработки или на дальнейшее ее проведение в будущем, персональные данные должны быть:

b. переданы другому контролеру, при условии что предыдущий контролер гарантирует, что дальнейшая обработка будет иметь аналогичные с прежней обработкой цели;

c. преобразованы в анонимные данные и храниться исключительно для целей статистики и исторических или научных исследований.

2. В случае обработки согласно статье 5 пункту (2) подпунктам c) или d) в рамках действий, упомянутых в статье 2 пункт (5), контролер может хранить персональные данные в течение периода времени, необходимого для достижения конкретно указанных целей, при условии, что при этом обеспечены должные меры защиты данных, и что контролер затем уничтожит данные, если они не подпадают под действие правовых положений о сдаче в архив.

Глава III: Особые правила в отношении обработки персональных данных

Статья 7: Обработка некоторых особых категорий данных

1. Запрещена обработка персональных данных, связанных с этнической или расовой принадлежностью, политическими, религиозными или философскими либо иными аналогичными воззрениями, членство в профсоюзах, а также персональных данных, относящихся к состоянию здоровья или половой сфере.

2. Положения пункта (1) не применяются в следующих случаях:

a. когда субъект данных дал четкое согласие на такую обработку;

b. когда обработка необходима в соответствии с обязательствами или особыми правами контролера в области трудового права, при соблюдении предусмотренных законом гарантий; раскрытие обрабатываемых данных третьим лицам возможна, только если контролер связан соответствующим юридическим обязательством, либо если субъект данных дал положительно выраженное согласие на такое раскрытие;

c. когда обработка необходима для защиты жизни или здоровья субъекта данных либо иного лица, если субъект данных физически или юридически не способен дать свое согласие;

d. когда обработка проводится в рамках законной деятельности фонда, ассоциации либо иной некоммерческой организации политического, философского или профсоюзного профиля, при условии что субъект данных является членом этой организации или имеет регулярные контакты с этой организацией, связанные с ее профилем, и что данные не будут раскрываться третьим лицам без согласия субъекта данных;

e. когда обработка связана с данными, явным образом обнародованными субъектом данных;

f. когда обработка необходима для отправления правосудия в суде;

g. когда обработка необходима для профилактического лечения, постановки медицинского диагноза, проведения медицинского обслуживания и лечения в интересах субъекта данных, либо для предоставления медицинских услуг в интересах субъекта данных, при условии, что обработка таких данных проводится либо при участии, либо под контролем медицинского персонала, связанного обязательством врачебной тайны, либо под контролем иного лица, связанного аналогичным обязательством по хранению тайны;

h. когда закон явным образом предписывает обработку для защиты важных общественных интересов, при условии, что обработка проводится в соответствии с правами субъекта данных и иными правовыми гарантиями, предоставляемыми настоящим Законом.

3. Положения пункта (2) не имеют преимуществ перед правовыми положениями, регулирующими обязанности государственных органов по уважению и защите личной, семейной и частной жизни.

4. II Надзорное ведомство при наличии веских оснований может принять решение запретить обработку данных, которые относятся к категориям, указанным в пункте (1), даже если субъект данных дал на то свое однозначное согласие в письменном виде и не отзывал такого согласия, при условии что указанный в пункте (1) запрет не отменяется положениями пункта (2) подпунктов b) – g).

Статья 8: Обработка персональных данных, выполняющих функцию идентификаторов

1. Обработка персонального цифрового кода или иных персональных данных, выполняющих функцию различного рода общих идентификаторов, может проводиться, только если:

a. субъект данных дал на то свое положительно выраженное согласие; либо

b. обработка явным образом предписана правовыми положениями.

2. Ia Надзорное ведомство может устанавливать иные условия, разрешающие обработку данных, указанную в пункте (1), но только после того как были предоставлены гарантии соблюдения прав субъекта данных.

Статья 9: Обработка персональных данных, относящихся к здоровью

1. За исключением случаев, указанных в статье 7 пункт (2), положения статьи 7 пункт (1) не применяются к обработке данных о состоянии здоровья в следующих случаях:

a. если обработка необходима для охраны общественного здоровья;

b. если обработка необходима для предупреждения непосредственной опасности, уголовного преступления или последствий такого преступления либо для устранения вреда от последствий такого преступления;

2. Обработка данных о состоянии здоровья может проводиться только при участии или под контролем медицинского персонала, связанного обязательством хранить врачебную тайну, за исключением случаев, когда субъект данных дал на то свое однозначное письменное согласие и не отозвал это согласие, а также когда обработка необходима для целей предупреждения непосредственной опасности, уголовного преступления или последствий такого преступления, либо для устранения вреда от последствий такого преступления.

3. Медицинский персонал, работники учреждений здравоохранения могут обрабатывать персональные данные о состоянии здоровья без санкции надзорного ведомства, только если обработка необходима для целей спасения жизни и здоровья субъекта данных. Когда упомянутые цели касаются других лиц или групп населения и субъект данных не дал своего однозначного письменного согласия, то сначала нужно запросить и получить санкцию надзорного ведомства. Обработка персональных данных, выходящая за пределы полученной санкции, запрещается.

4. За исключением критических ситуаций, указанная в пункте (3) санкция может быть дана только после консультаций с Румынской коллегией медицинских работников.

5. Персональные медицинские данные можно собирать только у самого субъекта данных. Существует следующее исключение: эти данные можно собирать из других источников, только если это необходимо, чтобы не ставить под угрозу цели обработки, и если соответствующее лицо не хочет или не может предоставить эти данные

Статья 10: Обработка персональных данных, относящихся к правонарушениям или проступкам

1. Обработка персональных данных, относящихся к совершенным субъектом данных уголовным преступлениям либо примененным в отношении субъекта данных приговорам, принудительным мерам или администратиным или иным санкциям, может проводиться только с участием или под контролем соответствующх ведомств в рамках предоставленных им по закону полномочий и на условиях, установленных особым законодательством, регулирующим данную сферу.

2. Надзорное ведомство может установить другие условия, при которых возможно проведение указанной в пункте (1) обработки, только при условии предоставления достаточных гарантий соблюдения прав субъекта данных.

3. Полный файл судимостей может содержаться только под контролем соответствующего ведомства в рамках ограничений, установленных законом.

Положения статей 5, 6, 7 и 10 не применяются к случаям, когда обработка данных проводится исключительно для журналистских, литературных и художественных целей, если обработка относится к персональным данным, которые были явным образом обнародованы субъектом данных, либо связаны с качествами публичного лица, либо связаны с публичным характером относящихся к этому лицу фактов.

Глава IV: Права субъекта данных в контексте обработки персональных данных

Статья 12: Предоставление информации субъекту данных

1. Когда персональные данные получают напрямую от субъекта данных, на контролере лежит обязанность предоставить субъекту данных как минимум следующую информацию, если это лицо уже не располагает такой информацией:

a. кто является контролером или, в зависимости от обстоятельств, представителем контролера;

c. дополнительная информация, такая как: каковы получатели или категории получателей данных; обязательно ли предоставление всех запрашиваемых данных и каковы последствия за отказ сотрудничать; каковы предусмотренные настоящим законом права субъекта данных, в частности, право получать доступ к данным, влиять на обработку данных и возражать против их использования, а также каковы условия, при которых субъект данных может этими правами воспользоваться;

d. любая иная информация, которую может явным образом предписать надзорное ведомство и которая будет сочтена полезной для конкретного случая обработки данных.

2. Когда данные не получают напрямую от субъекта данных, на контролере лежит обязанность – в момент сбора данных или по крайней мере до первого раскрытия данных, если данные намереваются раскрывать третьим лицам – предоставить субъекту данных как минимум следующую информацию, если это лицо не располагает уже такой информацией:

a. кто является контролером или, в зависимости от обстоятельств, представителем контролера;

c. дополнительная информация, такая как: каков характер собираемых данных, каковы получатели или категории получателей данных; каковы предусмотренные настоящим Законом права субъекта данных, в частности право получать доступ к данным, влиять на обработку данных и возражать против их использования, а также каковы условия, при которых субъект данных может этими правами воспользоваться;

3. Положения пункта (2) не применяются, когда обработка данных проводится исключительно для журналистских, литературных или художественных целей, если применение этих положений может раскрыть источник информации.

4. Положения пункта (2) не применяются, если обработка данных проводится для целей статистики, исторических или научных исследований либо в любых иных случаях, когда предоставление такой информации невозможно либо потребует чрезмерных усилий и тем самым может нанести ущерб законным интересам, а также в случаях, когда запись или раскрытие информации явным образом предписана законом.

1. Любой субъект данных, по требованию и без уплаты пошлины, один раз в год имеет право получать от контролера справку о том, обрабатываются ли в отношении него данные контролером. Контролер, в случае если он обрабатывал относящиеся к заявителю персональные данные, наряду с предоставлением справки обязан сообщить заявителю как минимум следующее:

a. информацию о целях обработки, характере обрабатываемых данных, а также о получателях или категориях получателей, которым раскрываются данные;

b. ясную для понимания информацию об обрабатывамых данных и имеющуюся информацию об источниках этих данных;

c. информацию о принципах действия механизма автоматизированной обработки данных, имеющих отношение к соответствующему лицу;

d. информацию о праве на исправление данных и праве возражать против обработки, а также об услових, при которых субъект данных может воспосльзоваться этими правами;

e. информацию об имеющейся возможности ознакомиться с реестром описи обработки персональных данных, упомянутым в статье 24, а также информацию о возможности обращения с жалобой в надзорное ведомство и обжалования в судебном порядке в соответствии с положениями настоящего Закона.

Субъект данных может запросить у контролера информацию, указанную в пункте 1, направив письменное, датированное и подписанное заявление. Заявитель может выразить желание получить информацию на указанный им адрес, в том числе и электронный, либо посредством почтовой службы, обеспечивающей конфиденциальность получения информации .
Обязанность контролера сообщить запрошенную информацию в течении 15 дней со дня получения запроса, при этом соблюдая желание заявителя согласно пункту 2.
4. В отношении персональных медицинских данных упомянутый в пункте 2 запрос может быть подан самим субъектом данных либо медицинским персоналом, который при этом должен указать лицо, от имени которого подается заявление. По просьбе контролера или субъекта данных, упомянутое в пункте 3 предоставление информации может производиться члену медицинского персонала, назначенному субъектом данных.

5. Если персональные медицинские данные обрабатываются для научно-исследовательских целей, если не существует опасности нарушения прав затрагиваемого лица, и если данные не используются для принятия мер против такого лица, то срок упомянутого в пункте 3 предоставления данных может быть более продолжительным, чем предусмотрено в упомянутом пункте, чтобы не навредить результатам такого исследования, однако по завершении исследования задержек быть не должно. Такая ситуация разрешена, только если субъект данных дал свое положительно выраженное и однозначное согласие на обработку данных для целей научных исследований, а также на возможную задержку в предоставлении информации, упомянутой в пункте 3.

6. Положения пункта 2 не применяются, когда обработка персональных данных производится исключительно для журналистских, литературных или художественных целей, если применение этих положений может затронуть конфиденциальность источника информации.

1. Любой субъект данных имеет право на то, чтобы контролер обеспечил по первому требованию и без уплаты пошлин:

a. исправление, обновление, запрещение или удаление данных, обработка которых не соответствует положениям настоящего закона, прежде всего данных неполных или неточных;

b. анонимность данных, обработка которых не соответствует положениям настоящего закона;

c. уведомление третьих лиц, которым раскрываются данные, о любых действиях, произведенных согласно подпунктам a) или b), если такое уведомление не представляется невозможным или не требует чрезмерных усилий для восстановления законных интересов, которые могли быть нарушены.

2. Для того чтобы воспользоваться правом, указанным в пункте (1), субъект данных должен представить письменное, датированное и подписанное заявление. Заявитель может выразить желание получить информацию о принятых мерах на указанный им адрес, в том числе и электронный, либо посредством почтовой службы, обеспечивающей конфиденциальность получения информации.

3. Обязанность контролера сообщить о мерах, принятых на основании положений пункта 1, а также, в зависимости от обстоятельств, об именах третьих лиц, которым раскрывались данные о субъекте данных, в течение 15 дней со дня поступления заявления и с учетом пожеланий заявителя согласно пункту 2.

1. Субъект данных имеет право в любой момент высказать возражение против обработки относящихся к нему данных, приведя обоснованные и законные, связанные с конкретной ситуацией причины, если иное специально не оговорено законом.

2. Субъект данных имеет право в любой момент, свободно и не приводя причин, возражать против обработки относящихся к нему данных для явно рекламных целей от имени контролера или третьего лица, либо против раскрытия таких данных третьим лицам в таких целях.

3. Для того чтобы воспользоваться правами, указанными в пунктах 1 и 2, субъект данных должен представить письменное, датированное и подписанное заявление. Заявитель может выразить желание получить информацию о принятых мерах на указанный им адрес, в том числе и электронный, либо посредством почтовой службы, обеспечивающей конфиденциальность получения информации.

4. Обязанность контролера сообщать субъекту данных о мерах, принятых на основании положений пунктов 1 и 2, а также, по обстоятельствам, об именах третьих лиц, которым раскрывались данные о субъектах данных, в течение 15 дней со дня поступления заявления и с учетом пожеланий заявителя в соответствии с пунктом 3.

1. Положения статей 12, 13, статьи 14 (пункт 3) и статьи 15 не применяются к обработке, упомянутой в статье 2 (пункт 5), если их применение может помешать эффективности действий или целей, преследуемых в рамках исполнения законных функций соответствующего ведомства.

2. Положения пункта 1 данной статьи применимы только на период времени, который необходим для достижений целей, преследуемых в рамках действий, упомянутых в статье 2 (пункт 5).

3. По окончании обстоятельств, оправдывающих применение пункта 1 и 2, контролеры, которые производят действия, указанные в статье 2 (пункт 5), должны принять все необходимые меры, с тем чтобы обеспечить соблюдение прав субъектов данных.

4. Соответствующие ведомства должны делать записи о таких делах и периодически информировать надзорное ведомство о ходе разрешения таких дел.

Статья 17: Право не быть субъектом индивидуального решения

1. Любое лицо имеет право на требование и удовлетворение требования:

a. Об отзыве или отмене решения, имеющего для субъекта данных юридические последствия, если оно было принято исключительно на основании обработки персональных данных с использованием автоматизированных средств и предназначено для оценки аспектов личности и/или профессиональной компетенции, доверия, поведения или иных подобных аспектов.

b. О пересмотре любого связанного с этим лицом или существенным образом затрагивающего это лицо решения, если это решение было принято исключительно на основании обработки данных, подпадающей под условия, указанные в подпункте a).

2. С учетом иных гарантий, предоставляемых настоящим Законом, в отношении лица могут быть приняты виды решений, упомянутые в пункте 1, только при следующих условиях:

a. решение принимается в рамках заключения или исполнения договора, при условии что заключение или исполнение контракта производится по поручению субъекта данных либо что были приняты достаточные меры – в частности, предусмотрена возможность отстаивания его позиции – для обеспечению защиты его законных интересов;

b. решение санкционировано законом, в котором предусмотрены меры, гарантирующие защиту законных интересов субъекта данных.

1. Помимо возможности обращения в надзорное ведомство субъект данных имеет право обращаться в суд за защитой любых прав, гарантированных настоящим Законом.

2. Любое лицо, понесшее ущерб в результате незаконной обработки персональных данных, может обратиться в суд надлежащей юрисдикции с иском о возмещении понесенного ущерба.

3. Судом надлежащей юрисдикции является суд, территориальная юрисдикция которого распространяется на место проживание истца. Исковое заявление в суд освобождается от гербового сбора.

Глава V: Конфиденциальность и безопасность обработки

Статья 19: Конфиденциальность обработки данных

Любое лицо, которое действует в рамках компетенции контролера или обработчика, включая самого обработчика, и которое имеет доступ к персональным данным, не может обрабатывать такие данные без прямой санкции контролера, за исключением случаев, когда такое лицо действует на основании обязательств, предписанных законом.

1. Обязанность контолера обеспечить достаточные технические и организационные меры для защиты данных от случайного либо незаконного уничтожения, утери, изменения, раскрытия или несанкционированного доступа, особенно в случае передаче данных по телекоммуникационной сети, а также от любого иного вида незаконной обработки.

2. Такие меры должны обеспечивать достаточную защиту обрабатываемых данных, с учетом имеющихся денежных и технических средств и характера защищаемых данных. Минимальные требования безопасности должны устанавливаться надзорной инстанцией и периодически обновляться с учетом технического прогресса и накопленного опыта.

3. Назначая обработчика, контролер обязан выбрать лицо, которое предоставит достаточные гарантии в отношении технических и организационных мер для обеспечения безопасности обрабатываемых данных. Контролер также должен следить за тем, чтобы назначенное лицо соблюдало такие меры.

4. Надзорное ведомство может в отдельных случаях принимать решение, о том что контролер должен принять дополнительные меры безопасности, если только такие меры не будут затрагивать безопасность телекоммуникационных услуг.

5. Обработка данных может производиться назначенным обработчиком после подписания письменного контракта, который обязательно должен содержать следующее:

a. обязательство со стороны назначенного лица действовать в строгом соответствии с полученными от контролера инструкциями;

b. положение о том, что выполнение перечисленных в пункте 1 обязательств распространяется и на обработчика.

Глава VI: Надзор и контроль за обработкой персональных данных

1. Надзорное ведомство, в терминах настоящего закона, является представителем интересов населения.

2. Надзорное ведомство является полностью независимым и беспристрастным.

3. Надзорное ведомство осуществляет мониторинг и контроль за законностью обработки персональных данных в рамках юрисдикции настоящего закона. Для достижения этой цели надзорное ведомство имеет следующие полномочия:

a. разрабатывает бланки уведомлений и регистрационных формуляров;

b. получает и анализирует уведомления относительно обработки персональных данных и информирует контролера о результатах предыдущей проверки;

c. разрешает обработку данных в случаях, установленных заком;

d. в случае обнаружения несоблюдения положений настоящего Закона может предписать приостановить или прекратить обработку данных, полностью или частично удалить обрабатываемые данные, а также может обратиться в прокуратуру или в суд;

e. отвечает за хранение реестра обработки персональных данных, который должен быть открыт для публичного доступа;

f. принимает и выносит решения по заявлениям или просьбам физических лиц и сообщает о принятых решениях или принятых мерах;

g. проводит расследования – по собственной инициативе либо на основании требования или уведомления;

h. дает заключения при разработке законопроектов, затрагивающихся права и свободы лиц в отношении обработки персональных данных;

i. может представлять предложения по инициированию законопроектов или поправок в существующие законодательные акты в сферах, связанных с обработкой персональных данных;

j. сотрудничает с органами власти и администрации, собирает, хранит и анализирует их ежегодные отчеты относительно защиты лиц при обработке персональных данных; по просьбе физических и юридических лиц, включая органы власти и администрации, разрабатывают рекомендации и заключения по любому вопросу, связанному с защитой основных прав и свобод при обработке персональных данных; такие рекомендации и заключения должны указывать основания, по которым они были приняты, и их копии должны направляться министру юстиции; если рекомендации или заключения предписаны законом, то они должны быть опубликованы в части I "Official Monitor of Romania";

k. сотрудничает с аналогичными ведомствами за рубежом в целях оказания взаимопомощи, а также с иностранными резидентами в целях обеспечения их основных прав и свобод, которые могут быть затронуты в связи с обработкой персональных данных;

l. осуществляет полномочия, возложенные на них законом.

4. За исключением случаев, предусмотренных законом, весь персонал надзорного ведомства, даже после прекращения юридических отношений с надзорным ведомством, обязан постоянно хранить профессиональную тайну в отношении конфиденциальной или засекреченной информации, к которой они получили доступ при исполнении своих полномочий.

Статья 22: Уведомление, направляемое в надзорное ведомство

1. Контролер обязан лично или через представителя уведомлять надзорное ведомство, прежде чем начинать любой вид обработки, связанной или схожей с предыдущей обработкой.

2. Уведомление не обязательно, если единственной целью обработки является создание записи, предназначенной для публичного доступа и открытой для просмотра любым лицом, которое может показать наличие законного интереса, при условии что обработка ограничена лишь теми данными, которые строго необходимы для вышеупомянутой записи.

3. Уведомление должно содержать следующую информацию:

a. фамилия либо должность, либо домашний или юридический адрес контролера и уполномоченного им лица, в зависимости от обстоятельств;

c. описание категории или категорий субъектов данных, а также данных или категорий данных, которые будут обрабатываться;

d. получатели или категории получателей, которым предполагается раскрывать данные;

e. гарантии, сопутствующие раскрытию данных третьим лицам;

f. способы оповещения субъекта данных об их правах, приблизительная дата окончания обработки, дальнейшее предназначение данных;

g. предполагаемая передача данных в другие государства;

h. общее описание, дающее предварительное представление о принимаемых мерах с целью обеспечить безопасность обработки;

i. упоминание о системе записи данных, связанной с обработкой, а также о возможной связи с иной обработкой или иной системой записи данных, независимо от того, будут ли они [ полностью задействованы] , либо находятся ли они на территории Румынии или нет;

j. основания к применению положений статей 11 и 12 (пункты 3 и 4) либо статьи 13 (пункты 5 или 6), в случаях когда обработка данных проводится исключительно для журналистских, литературных, художественных или статистических целей, либо для целей исторических или научных исследований.

4. Если уведомление представлено не в полном объеме, надзорное ведомство должно потребовать его дополнить.

5. В рамках своих полномочий по проведению расследований надзорное ведомство может потребовать иную информацию, в частности, относительно источников данных, используемой технологии автоматизированной обработки и подробностей принимаемых мер безопасности. Положения настоящего пункта не применяются в случаях, когда обработка данных проводится исключительно для журналистских, литературных или художественных целей.

6. Если предполагается передача данных за рубеж, уведомление должно включать следующее:

b. страна назначения по каждой категории данных.

7. Уведомление облагается пошлиной, которую контролер должен уплатить в пользу надзорного ведомства.

8. Государственные ведомства, которые проводят обработку персональных данных, относящихся к действиям, указанным в статье 2 (пункт 5), на основании закона или в соответствии с обязательствами, вытекающими из ратифицированных международных соглашений, освобождаются от уплаты пошлины, указанной в пункте 7. Уведомление должно быть направлено в течение 15 дней с момента вступления в силу законодательного акта, устанавливающего соответствующее обязательство, и должно содержать следующие элементы:

c. категории персональных данных, которые подлежат обработке .

9. Надзорное ведомство может устанавливать иные условия, при которых необходимо представлять уведомление, за исключением тех, что указаны в пункте 2, либо тех, при которых уведомление может представляться в упрощенном виде, но только в следующих случаях:

a. если, с учетом характера подлежащих обработке данных, обработка не может, хотя бы внешне, затронуть права субъекта данных, при условии что явным образом указаны цели такой обработки, данные или категории данных, которые могут обрабатывать, категория или категории субъектов данных, получатели или категории получателей, которым данные могут раскрываться, а также период времени, в течение которого данные могут храниться;

b. если обработка проводится на основании положений статьи 7 (пункт 2, подпункт d).

1. Надзорное ведомство должно установить категории операций по обработке, которые находятся под подозрением как представляющие особый риск для прав и свобод граждан.

2. Если на основании уведомления надзорное ведомство сочтет, что обработка относится к одной из категорий, упомянутых в пункте 1, то оно может решить провести предварительную проверку в отношении такой обработки и сделать соответствующее объявление об этом контролеру.

3. Контролеры, которым в течение 5 дней не было объявлено о проведении предварительной проверки, могут начинать обработку.

4. В случае, указанном в пункте 2, надзорное ведомство обязано не позднее, чем в течение 30 дней с момента уведомления, информировать контролера о результатах проведенной проверки и о вынесенном по этому поводу решении.

Статья 24: Реестр обработки персональных данных

1. Надзорное ведомство ведет реестр обработки персональных данных, составленный на основе уведомлений, упомянутых в статье 22. Реестр содержит всю информацию, указанную в статье 22 (пункт 3).

2. Каждый контролер получает регистрационный номер. Регистрационный номер должен фигурировать на каждом документе, относящемся к сбору, хранению или раскрытию данных.

3. Любые изменения, касающиеся точности регистрационной информации, должны направляться надзорному ведомству в течение 5 дней. Надзорное ведомство должно немедленно предпринять действия по внесению в реестр необходимых исправлений.

4. Об обработке персональных данных, начатой до вступления в силу настоящего Закона, должно быть представлено уведомление на регистрацию в течение 15 дней с даты вступления в силу настоящего закона.

5. Реестр обработки персональных данных открыт для всеобщего ознакомления. Надзорное ведомство устанавливает процедуру доступа к реестру.

Статья 25: Заявления в адрес надзорного ведомства

1. Лица, чьи персональные данные обрабатываются в соответсвии с положениями настоящего закона, могут обращаться в надзорное ведомство с жалобами на нарушение своих прав, установленных настоящим законом. Жалобы могут подаваться напрямую или через представителя. Субъект данных может уполномочить ассоциацию или фонд представлять его интересы.

2. Направленное в адрес надзорного ведомства заявление не имеет силы, если по тому же делу уже было инициировано судебное разбирательство.

3. За исключением случаев, когда промедление может вызвать скорый и непоправимый ущерб, заявление в адрес надзорного ведомства не должно направляться ранее, чем через 15 дней после подачи жалобы контролеру по тому же делу.

4. Для принятия решения по поступившему заявлению надзорное ведомство может при необходимости заслушивать субъекта данных, контролера и уполномоченного лица либо ассоциацию или фонд, которые представляют интересы субъекта данных. Эти лица имеют право подавать заявления, документы и докладные записки. Надзорное ведомство может вынести решение о проведении расследования.

5. Если будет сочтено, что жабоба обоснована, надзорное ведомство может вынести решение о принятии любой меры из указанных в статье 21 (пункт 3, подпункт d). Временная приостановка обработки может быть предписана только до устранения причин, вызвавших принятие такой меры.

6. Решение должно быть мотивированным и сообщено заинтересованным сторонам в течение 30 дней с момента регистрации заявления.

7. Надзорное ведомство может при необходимости предписать приостановку части или всех операций по обработке до вынесения решения по заявлению согласно пункту 5.

8. Надзорное ведомство может обращаться в суд для защиты прав субъектов данных, гарантированных настоящим законом. Судом надлежащей юрисдикции является городской суд Бухареста. Исковое заявление в суд освобождается от гербового сбора.

9. По обоснованному требованию субъектов данных суд может принять решение о приостановке обработки до рассмотрения заявления, поданного в надзорное ведомство.

10. Положения пунктов (4) и (9) также применимы к случаям, если надзорному ведомству станет известно каким-либо иным способом о нарушении прав субъектов данных, признанных настоящим Законом.

Статья 26: Обжалование решений надзорного ведомства

1. Контролер или субъект данных могут обжаловать любое решение, принятое надзорным ведомством на основании положений настоящего закона, в административный суд надлежащей юрисдикции не позднее чем в течение 15 дней с момента получения такого решения. Стороны должны быть вызваны в суд повесткой, и жалоба должна быть немедленно рассмотрена. Принятое решение окончательное и обжалованию не подлежит.

2. Обработка персональных данных, произведенная в рамках действий, указанных в статье 2 (пункт 5), исключается из действия положений пункта 1, а также статей 23 и 25.

Статья 27: Осуществление полномочий на проведение расследований

1. Надзорное ведомство может по собственной инициативе или по требованию расследовать любое нарушение прав субъектов данных, а также и то, как контролер и/или уполномоченные им лица соблюдают обязательства по защите основных прав и свобод субъектов данных.

2. Надзорное ведомство не может использовать полномочия на проведение расследования, в случае если ранее было подано заявление в суд по тому же делу о нарушении прав с участием тех же сторон.

3. При осуществлении своих полномочий на проведение расследований надзорное ведомство может потребовать от контролера предоставить любую информацию, связанную с обработкой данных, и может проверить любой документ или запись, относящиеся к обработке персональных данных.

4. Государственные секреты и профессиональная тайна не должны заявляться в качестве оснований для того, чтобы чинить препятствия для осуществления предусмотренных настоящим законом полномочий надзорного ведомства на проведение расследований. Если заявлено о государственной или профессиональной тайне, надзорное ведомство обязано хранить такую тайну.

5. Если в ходе осуществления полномочий надзорного ведомства объектом расследования выступает обработка персональных данных, проводимая государственными ведомствами по конкретному делу в связи с действиями, указанными в статье 2 (пункт 5), то необходимо предварительно получить санкцию прокурора или суда надлежащей юрисдикции.

1. Профессиональные ассоциации обязаны разрабатывать и представлять на одобрение надзорного ведомства кодексы добросовестной обработки, которые должны содержать надлежащие правила для защиты прав лиц, чьи данные могут обрабатываться членами таких ассоциаций.

2. Кодексы добросовестной обработки должны включать меры и процедуры, способные обеспечить удовлетворительую защиту с учетом характера обрабатываемых данных. Надзорное ведомство может предписать конкретные меры и процедуры на период, пока не приняты кодексы добросовестной обработки.

Глава VII: Передача персональных данных за рубеж

Статья 29: Условия передачи персональных данных за рубеж

1. Передача другому государству данных, подлежащих обработке или предназначенных для обработки после такой передачи, может производиться, только если при этом не нарушается румынское законодательство и государство-получатель данных обеспечивает достаточный уровень защиты.

2. Уровень защиты оценивается надзорным ведомством с учетом всех обстоятельств производимой передачи, включая прежде всего характер передаваемых данных, цели обработки и предполагаемый период времени обработки, страну-источник и страну назначения, а также законодательство последней. В случае, если надзорное ведомство сочтет неудовлетворительным уровень защиты, предоставляемый страной назначения, оно может предписать отмену передачи данных.

3. Передача данных в другое государство всегда должно сопровождаться предварительным уведомлением надзорного ведомства.

4. Надзорное ведомство может разрешить передачу данных в другую страну, имеющую меньшую защиту по стравнению с предоставлямой румынским законодательством, если контролер дает достаточные гарантии в отношении защиты основных прав граждан. Такие гарантии должны устанавливаться посредством контрактов, подписанных контролерами и физическими или юридическими лицами, заказавшими передачу данных.

5. Положения пунктов 2, 3 и 4 не применяются в случаях, если передача данных производится на основании особого закона или ратифицированного Румынией международного соглашения, особенно если передача производится в целях предупреждения, расследования или наказания уголовного преступления.

6. Положения настоящей статьи не применяются, когда обработка данных производится исключительно для журналистских, литературных или художественных целей, если данные были явным образом обнародованы субъектом данных либо связаны с публичными качествами или публичным характером относящихся к субъекту данных фактов.

Статья 30: Ситуации, при которых передача разрешена всегда

Передача данных всегда разрешена в следующих случаях:

a. когда субъект данных дал однозначное согласие на передачу; в случае, если передача данных связана с данными, указанными в статьях 7, 8 и 9, согласие должно быть письменным;

b. когда она необходима для исполнения договора, подписанного субъектом данных и контролером, либо для выполнения мер перед заключением договора, предпринимаемых по просьбе субъекта данных;

c. когда она необходима для подписания или исполнения договора, который заключен или должен быть заключен между контролером и третьей стороной в интересах субъекта данных;

d. когда она необходима для обеспечения важных общественных интересов, таких как национальная оборона, общественный порядок или национальная безопасность, для обеспечения бесперебойности процессуальных действий в уголовном судопроизводстве, либо для идентификации, разбирательства или защиты прав в суде, при условии что данные обрабатываются исключительно для таких целей и без необоснованных задержек;

e. когда она необходима для защиты жизни или здоровья субъекта данных;

f. когда она является следствием предыдущего запроса на получение доступа к официальным документам открытого доступа, либо запроса на получение информации, которую можно получить из реестров или иных документов открытого доступа.

Статья 31: Неуведомление и недобросовестное уведомление

Непредставление обязательного уведомления согласно условиям, указанным в статье 22 и статье 29 пункт (3), а также неполное уведомление или содержащее неверную информацию, если оно не влечет уголовную ответсвенность, считается правонарушением, наказуемым штрафом в размере от 5 миллионов до 100 миллионов румынских леи.

Статья 32: Незаконная обработка персональных данных

Обработка персональных данных контролером или лицом, уполномоченным контролером, которая нарушает положения статьей 4 – 19 или ущемляет права, указанные в статьях 12 – 15 или в статье 17, считается правонарушением и, если оно не влечет уголовной ответственности, наказывается штрафом в размере от 20 миллионов до 250 миллионов румынских леи.

Статья 33: Невыполнение обязательств в отношении конфиденциальности и обеспечения мер безопасности

Невыполнение обязательств по обеспечению мер безопасности и конфиденцильности обработки, указанных в статье 19, является правонарушением и, если оно не влечет уголовную ответственность, наказывается штрафом в размере от 15 миллионов до 500 миллионов румынских леи.

Отказ предоставить надзорному ведомству информацию или документы, затребованные им в ходе исполнения своих полномочий по проведению расследований согласно статье 27, считается правонарушением и, если оно не влечет уголовной ответственности, наказывается штрафом в размере от 10 миллионов до 150 миллионов румынских леи.

Статья 35: Установление правонарушения и исполнение наказаний

1. Установление правонарушений и исполнение наказаний осуществляются надзорным ведомством, которое может делегировать эти полномочия лицу из числа своего персонала, а также уполномоченными лицами надзорных или контролирующих органов в рамках своей юридической компетенции.

2. Положения настоящего закона относительно правонарушений должны дополняться положениями Постановления правительства No. 2/2001 о юридических рамках правонарушений, если настоящим Законом не предусмотрено иначе.

3. Решения об установлении факта правонарушения и о наложении санкций могут быть обжалованы в административном суде.

Настоящий Закон вступает в силу с даты его опубликования в "Official Monitor of Romania", часть I и начнет применяться не позднее, чем через три месяца после вступления в силу.

Настоящий Закон принят Сенатом на своем заседании 15 октября 2001 года в соответствии с положениями статьи 74 пункт (2) Конституции Румынии.

Президент Сената,
Николае Вакароиу

Настоящий Закон принят Палатой депутатов на заседании 22 октября 2001 года в соответствии с положениями статьи 74 пункт (2) Конституции Румынии.

Президент Палаты депутатов
Валер Дорнеану

Опубликовано в "Official Monitor of Romania", часть I, No. 790 / 12 декабря 2001 года