Extras din Regulamentul (UE) nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea
datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE
(Regulamentul general privind protectia datelor)

CAPITOLUL III: Drepturile persoanei vizate

Sectiunea 2: Informare si acces la date cu caracter personal

Art. 13: Informatii care se furnizeaza in cazul in care datele cu caracter personal sunt colectate de la persoana vizata

(1) In cazul in care datele cu caracter personal referitoare la o persoana vizata sunt colectate de la aceasta, operatorul, in momentul obtinerii acestor date cu caracter personal, furnizeaza persoanei vizate toate informatiile urmatoare:

a) identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protectia datelor, dupa caz;
c) scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii;
d) in cazul in care prelucrarea se face in temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmarite de operator sau de o parte terta;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f) daca este cazul, intentia operatorului de a transfera date cu caracter personal catre o tara terta sau o organizatie internationala si existenta sau absenta unei decizii a Comisiei privind caracterul adecvat sau, in cazul transferurilor mentionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garantiile adecvate sau corespunzatoare si la mijloacele de a obtine o copie a acestora, in cazul in care acestea au fost puse la dispozitie.

(2) In plus fata de informatiile mentionate la alineatul (1), in momentul in care datele cu caracter personal sunt obtinute, operatorul furnizeaza persoanei vizate urmatoarele informatii suplimentare necesare pentru a asigura o prelucrare echitabila si transparenta

a) perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
b) existenta dreptului de a solicita operatorului, in ceea ce priveste datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau stergerea acestora sau restrictionarea prelucrarii sau a dreptului de a se opune prelucrarii, precum si a dreptului la portabilitatea datelor;
c) atunci cand prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenta dreptului de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;
d) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
e) daca furnizarea de date cu caracter personal reprezinta o obligatie legala sau contractuala sau o obligatie necesara pentru incheierea unui contract, precum si daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal si care sunt eventualele consecinte ale nerespectarii acestei obligatii;
f) existenta unui proces decizional automatizat incluzand crearea de profiluri, mentionat la articolul 22 alineatele (1) si (4), precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

(3) In cazul in care operatorul intentioneaza sa prelucreze ulterior datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost colectate, operatorul furnizeaza persoanei vizate, inainte de aceasta prelucrare ulterioara, informatii privind scopul secundar respectiv si orice informatii suplimentare relevante, in conformitate cu alineatul (2).

(4) Alineatele (1), (2) si (3) nu se aplica daca si in masura in care persoana vizata detine deja informatiile respective.

Art. 14: Informatii care se furnizeaza in cazul in care datele cu caracter personal nu au fost obtinute de la persoana vizata

(1) in cazul in care datele cu caracter personal nu au fost obtinute de la persoana vizata, operatorul furnizeaza persoanei vizate urmatoarele informatii:

a) identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia;
b) datele de contact ale responsabilului cu protectia datelor, dupa caz;
c) scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii;
d) categoriile de date cu caracter personal vizate;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dupa caz;
f) daca este cazul, intentia operatorului de a transfera date cu caracter personal catre un destinatar dintr-o tara terta sau o organizatie internationala si existenta sau absenta unei decizii a Comisiei privind caracterul adecvat sau, in cazul transferurilor mentionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garantiile adecvate sau corespunzatoare si la mijloacele de a obtine o copie a acestora, in cazul in care acestea au fost puse la dispozitie.

(2) Pe langa informatiile mentionate la alineatul (1), operatorul furnizeaza persoanei vizate urmatoarele informatii necesare pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoana vizata:

a) perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
b) in cazul in care prelucrarea se face in temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmarite de operator sau de o parte terta;
c) existenta dreptului de a solicita operatorului, in ceea ce priveste datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau stergerea acestora sau restrictionarea prelucrarii si a dreptului de a se opune prelucrarii, precum si a dreptului la portabilitatea datelor;
d) atunci cand prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenta dreptului de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;
e) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
f) sursa din care provin datele cu caracter personal si, daca este cazul, daca acestea provin din surse disponibile public;
g) existenta unui proces decizional automatizat incluzand crearea de profiluri, mentionat la articolul 22 alineatele (1) si (4), precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

(3) Operatorul furnizeaza informatiile mentionate la alineatele (1) si (2):

a) intr-un termen rezonabil dupa obtinerea datelor cu caracter personal, dar nu mai mare de o luna, tinandu-se seama de circumstantele specifice in care sunt prelucrate datele cu caracter personal;
b) daca datele cu caracter personal urmeaza sa fie utilizate pentru comunicarea cu persoana vizata, cel tarziu in momentul primei comunicari catre persoana vizata respectiva; sau
c) daca se intentioneaza divulgarea datelor cu caracter personal catre un alt destinatar, cel mai tarziu la data la care acestea sunt divulgate pentru prima oara.

(4) In cazul in care operatorul intentioneaza sa prelucreze ulterior datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost obtinute, operatorul furnizeaza persoanei vizate, inainte de aceasta prelucrare ulterioara, informatii privind scopul secundar respectiv si orice informatii suplimentare relevante, in conformitate cu alineatul (2).

(5) Alineatele (1)-(4) nu se aplica daca si in masura in care:

a) persoana vizata detine deja informatiile;
b) furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate, in special in cazul prelucrarii in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, sub rezerva conditiilor si a garantiilor prevazute la articolul 89 alineatul (1), sau in masura in care obligatia mentionata la alineatul (1) din prezentul articol este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective In astfel de cazuri, operatorul ia masuri adecvate pentru a proteja drepturile, libertatile si interesele legitime ale persoanei vizate, inclusiv punerea informatiilor la dispozitia publicului;
c) obtinerea sau divulgarea datelor este prevazuta in mod expres de dreptul Uniunii sau de dreptul intern sub incidenta caruia intra operatorul si care prevede masuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
d) in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligatii legale de a pastra secretul.

Art. 15: Dreptul de acces al persoanei vizate

(1) Persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:

a) scopurile prelucrarii;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;
d) acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
e) existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
f) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
g) in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora;
existenta unui proces decizional automatizat incluzand crearea de profiluri, mentionat la articolul 22 alineatele (1) si (4), precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

(2) In cazul in care datele cu caracter personal sunt transferate catre o tara terta sau o organizatie internationala, persoana vizata are dreptul sa fie informata cu privire la garantiile adecvate in temeiul articolului 46 referitoare la transfer.

(3) Operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative. in cazul in care persoana vizata introduce cererea in format electronic si cu exceptia cazului in care persoana vizata solicita un alt format, informatiile sunt furnizate intr-un format electronic utilizat in mod curent.

(4) Dreptul de a obtine o copie mentionata la alineatul (3) nu aduce atingere drepturilor si libertatilor altora.

Sectiunea 3: Rectificare si stergere

Art. 16: Dreptul la rectificare

Persoana vizata are dreptul de a obtine de la operator, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. tinandu-se seama de scopurile in care au fost prelucrate datele, persoana vizata are dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.

Art. 17: Dreptul la stergerea datelor ("dreptul de a fi uitat")

(1) Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive:

a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b) persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea, in conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), si nu exista niciun alt temei juridic pentru prelucrarea;
c) persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (1) si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (2);
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla operatorul;
f) datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale mentionate la articolul 8 alineatul (1).

(2) In cazul in care operatorul a facut publice datele cu caracter personal si este obligat, in temeiul alineatului (1), sa le stearga, operatorul, tinand seama de tehnologia disponibila si de costul implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat stergerea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.

(3) Alineatele (1) si (2a) nu se aplica in masura in care prelucrarea este necesara:

a) pentru exercitarea dreptului la libera exprimare si la informare;
b) pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul;
c) din motive de interes public in domeniul sanatatii publice, in conformitate cu articolul 9 alineatul (2) literele (h) si (i) si cu articolul 9 alineatul (3);
d) in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), in masura in care dreptul mentionat la alineatul (1) este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective; sau
e) pentru constatarea, exercitarea sau apararea unui drept in instanta.

Art. 18: Dreptul la restrictionarea prelucrarii

(1) Persoana vizata are dreptul de a obtine din partea operatorului restrictionarea prelucrarii in cazul in care se aplica unul din urmatoarele cazuri:

a) persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite operatorului sa verifice exactitatea datelor;
b) prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor;
c) operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta; sau
d) persoana vizata s-a opus prelucrarii in conformitate cu articolul 21 alineatul (1), pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate.

(2) In cazul in care prelucrarea a fost restrictionata in temeiul alineatului (1), astfel de date cu caracter personal pot, cu exceptia stocarii, sa fie prelucrate numai cu consimtamantul persoanei vizate sau pentru constatarea, exercitarea sau apararea unui drept in instanta sau pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

(3) O persoana vizata care a obtinut restrictionarea prelucrarii in temeiul alineatului (1) este informata de catre operator inainte de ridicarea restrictiei de prelucrare.

Art. 19: Obligatia de notificare privind rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii

Operatorul comunica fiecarui destinatar caruia i-au fost divulgate datele cu caracter personal orice rectificare sau stergere a datelor cu caracter personal sau restrictionare a prelucrarii efectuate in conformitate cu articolul 16, articolul 17 alineatul (1) si articolul 18, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate. Operatorul informeaza persoana vizata cu privire la destinatarii respectivi daca persoana vizata solicita acest lucru.

Art. 20: Dreptul la portabilitatea datelor

(1) Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc si pe care le-a furnizat operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat si are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal, in cazul in care:

a) prelucrarea se bazeaza pe consimtamant in temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract in temeiul articolului 6 alineatul (1) litera (b); si
b) prelucrarea este efectuata prin mijloace automate.

(2) In exercitarea dreptului sau la portabilitatea datelor in temeiul alineatului (1), persoana vizata are dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului mentionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplica prelucrarii necesare pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul.

(4) Dreptul mentionat la alineatul (1) nu aduce atingere drepturilor si libertatilor altora.

Sectiunea 4: Dreptul la opozitie si procesul decizional individual automatizat

Art. 21: Dreptul la opozitie

(1) In orice moment, persoana vizata are dreptul de a se opune, din motive legate de situatia particulara in care se afla, prelucrarii in temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv crearii de profiluri pe baza respectivelor dispozitii. Operatorul nu mai prelucreaza datele cu caracter personal, cu exceptia cazului in care operatorul demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta.

(2) Atunci cand prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizata are dreptul de a se opune in orice moment prelucrarii in acest scop a datelor cu caracter personal care o privesc, inclusiv crearii de profiluri, in masura in care este legata de marketingul direct respectiv.

(3) In cazul in care persoana vizata se opune prelucrarii in scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate in acest scop.

(4) Cel tarziu in momentul primei comunicari cu persoana vizata, dreptul mentionat la alineatele (1) si (2) este adus in mod explicit in atentia persoanei vizate si este prezentat in mod clar si separat de orice alte informatii.

(5) In contextual utilizarii serviciilor societatii informationale si in pofida Directivei 2002/58/CE, persoana vizata isi poate exercita dreptul de a se opune prin mijloace automate care utilizeaza specificatii tehnice.

(6) In cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare stiintifica sau istorica sau in scopuri statistice in conformitate cu articolul 89 alineatul (1), persoana vizata, din motive legate de situatia sa particulara, are dreptul de a se opune prelucrarii datelor cu caracter personal care o privesc, cu exceptia cazului in care prelucrarea este necesara pentru indeplinirea unei sarcini din motive de interes public.

Art. 22: Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizata are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa.

(2) Alineatul (1) nu se aplica in cazul in care decizia:

a) este necesara pentru incheierea sau executarea unui contract intre persoana vizata si un operator de date;
b) este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului si care prevede, de asemenea, masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate; sau
c) are la baza consimtamantul explicit al persoanei vizate.

(3) In cazurile mentionate la alineatul (2) literele (a) si (c), operatorul de date pune in aplicare masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate, cel putin dreptul acesteia de a obtine interventie umana din partea operatorului, de a-si exprima punctul de vedere si de a contesta decizia.

(4) Deciziile mentionate la alineatul (2) nu au la baza categoriile speciale de date cu caracter personal mentionate la articolul 9 alineatul (1), cu exceptia cazului in care se aplica articolul 9 alineatul (2) litera (a) sau (g) si in care au fost instituite masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate.

CAPITOLUL VIII: Cai de atac, raspundere si sanctiuni

Art. 77: Dreptul de a depune o plangere la o autoritate de supraveghere

(1) Fara a aduce atingere oricaror alte cai de atac administrative sau judiciare, orice persoana vizata are dreptul de a depune o plangere la o autoritate de supraveghere, in special in statul membru in care isi are resedinta obisnuita, in care se afla locul sau de munca sau in care a avut loc presupusa incalcare, in cazul in care considera ca prelucrarea datelor cu caracter personal care o vizeaza incalca prezentul regulament.

(2) Autoritatea de supraveghere la care s-a depus plangerea informeaza reclamantul cu privire la evolutia si rezultatul plangerii, inclusiv posibilitatea de a exercita o cale de atac judiciara in temeiul articolului 78.

Art. 78: Dreptul la o cale de atac judiciara eficienta impotriva unei autoritati de supraveghere

(1) Fara a aduce atingere oricaror alte cai de atac administrative sau nejudiciare, fiecare persoana fizica sau juridica are dreptul de a exercita o cale de atac judiciara eficienta impotriva unei decizii obligatorii din punct de vedere juridic a unei autoritati de supraveghere care o vizeaza.

(2) Fara a aduce atingere oricaror alte cai de atac administrative sau nejudiciare, fiecare persoana vizata are dreptul de a exercita o cale de atac judiciara eficienta in cazul in care autoritatea de supraveghere care este competenta in temeiul articolelor 55 si 56 nu trateaza o plangere sau nu informeaza persoana vizata in termen de trei luni cu privire la progresele sau la solutionarea plangerii depuse in temeiul articolului 77.

(3) Actiunile introduse impotriva unei autoritati de supraveghere sunt aduse in fata instantelor din statul membru in care este stabilita autoritatea de supraveghere.

(4) In cazul in care actiunile sunt introduse impotriva unei decizii a unei autoritati de supraveghere care a fost precedata de un aviz sau o decizie a comitetului in cadrul mecanismului pentru asigurarea coerentei, autoritatea de supraveghere transmite curtii avizul respectiv sau decizia respectiva.

Art. 79: Dreptul la o cale de atac judiciara eficienta impotriva unui operator sau unei persoane imputernicite de operator

(1) Fara a aduce atingere vreunei cai de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plangere la o autoritate de supraveghere in temeiul articolului 77, fiecare persoana vizata are dreptul de a exercita o cale de atac judiciara eficienta in cazul in care considera ca drepturile de care beneficiaza in temeiul prezentului regulament au fost incalcate ca urmare a prelucrarii datelor sale cu caracter personal fara a se respecta prezentul regulament.

(2) Actiunile introduse impotriva unui operator sau unei persoane imputernicite de operator sunt prezentate in fata instantelor din statul membru unde operatorul sau persoana imputernicita de operator isi are un sediu. Alternativ, o astfel de actiune poate fi prezentata in fata instantelor din statul membru in care persoana vizata isi are resedinta obisnuita, cu exceptia cazului in care operatorul sau persoana imputernicita de operator este o autoritate publica a unui stat membru ce actioneaza in exercitarea competentelor sale publice.