La nivelul legislatiei comunitare, prelucrarea datelor cu caracter personal este guvernata de dispozitiile Directivei 95/46/CE a Parlamentului European si a Consiliului adoptate la 24 octombrie 1995.
Aceasta directiva a fost adoptata constatandu-se faptul ca exista diferente intre nivelurile de protectie a drepturilor si libertatilor persoanelor, in special a dreptului la viata privata, in ceea ce priveste prelucrarea datelor cu caracter personal, iar aceste diferente pot chiar impiedica autoritatile sa isi indeplinesca responsabilitatile conform dreptului comunitar, astfel ca era necesara uniformizarea nivelului de protectie a drepturilor si libertatilor persoanei in toate statele membre ale Uniunii Europene.

In sensul Directivei 95/46/CE, "date cu caracter personal" inseamna orice informatie cu referire la o persoana fizica identificata sau identificabila, iar "prelucrarea datelor cu caracter personal" semnifica orice operatiune care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvaluirea prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea acestor date. In vederea asigurarii legalitatii prelucrarii datelor cu caracter personal, au fost instituite principiile referitoare la calitatea datelor, potrivit carora datele cu caracter personal trebuie sa fie prelucrate in mod corect si legal, sa fie colectate in scopuri determinate, explicite si legitime, sa fie adevarate, pertinente si neexcesive, sa fie exacte si actualizate si sa fie pastrate intr-o forma ce permite identificarea persoanelor vizate o perioada nu mai lunga decat este necesar in vederea atingerii scopului pentru care au fost colectate.

Legiuitorul roman a adoptat Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date. Potrivit art. 5 din Legea nr. 677/2001, orice prelucrare de date cu caracter personal poate fi efectuata numai daca persoana vizata si-a dat consimtamantul expres si neechivoc pentru acea prelucrare. Pe cale de exceptie, consimtamantul persoanei vizate nu este necesar cand este necesara prelucrarea datelor pentru urmatoarele situatii: in vederea executarii unui contract la care persoana vizata este parte; in scopul protejarii vietii, integritatii fizice sau sanatatii persoanei vizate; pentru aducerea la indeplinire a unei obligatii legale a operatorului sau a unui interes legitim al acestuia, cu conditia ca acest interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale persoanei vizate; in vederea indeplinirii unor masuri de interes public; cind prelucrarea vizeaza doar date obtinute din documente accesibile publicului ori cand prelucrarea este realizata exclusiv in scopuri statistice. Indiferent daca datele cu caracter personal sunt obtinute sau nu direct de la persoana vizata, operatorul are obligatia de a informa persoana vizata despre identitatea sa, scopul prelucrarii datelor si orice alte informatii impuse prin dispozitia autoritatii de supraveghere.

Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu prelucrate de catre acesta. Operatorul este obligat sa comunice informatiile solicitate in termen de 15 zile de la data primirii cererii. Orice persoana vizata are dreptul de a obtine, in mod gratuit, de la operator, rectificarea, actualizarea, blocarea sau stergerea datelor sale. De asemenea, persoana vizata are dreptul de a se opune, in orice moment, din motive intemeiate si legitime, cu privire la prelucrarea datelor sale personale, cu exceptia cazurilor in care exista dispozitii legale contrare. In vederea protejarii drepturilor persoanelor, operatorul este obligat sa asigure confidentialitatea prelucrarilor, in sensul ca toate persoanele care au acces la date cu caracter personal nu pot sa le prelucreze decat pe baza instructiunilor operatorului, cu exceptia situatiilor in care actioneaza in virtutea unei obligatii legale.

Operatorul are obligatia de a asigura securitatea prelucrarilor, prin aplicarea tututor masurilor tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, a pierderii, modificarii, dezvaluirii sau accesului neautorizat. In scopul monitorizarii si controlului sub aspectul legalitatii a prelucrarii datelor cu caracter personal a fost infiintata prin Legea nr. 102/2005 Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (A.N.S.P.D.C.P.). Operatorii sunt obligati, potrivit dispozitiilor art. 22 din Legea nr. 677/2001, sa notifice autoritatii de supraveghere efectuarea oricarei prelucrari. Notificarea va cuprinde identificarea operatorului, scopul prelucrarii datelor, categoria de persoane vizate, destinatarii carora li se vor dezvalui datele, modul in care persoanele vizate sunt informate despre drepturile lor si descrierea masurilor luate pentru securitatea datelor. Prin Decizia nr. 91/2006 a Presedintelui A.N.S.P.D.C.P. privind cazurile in care este permisa notificarea simplificata a prelucrarii datelor cu caracter personal , avand in vedere faptul ca anumite prelucrari de date cu caracter personal sunt efectuate in mod frecvent in temeiul legii sau in interesul persoanelor vizate, nefiind astfel sussceptibile de a afecta drepturile acestora, s-a hotarat ca notificarea prelucrarii datelor cu caracter personal sa fie realizata intr-o forma simplificata pentru operativitatea procedurii de notificare, in aceasta categorie speciala fiind incluse prelucrarile de date efectuate de catre autoritatea judecatoreasca sau de catre autoritatile administratiei publice locale de la nivelul comunelor, in scopul indeplinirii atributiilor lor legale.

De asemenea, prin Decizia nr. 90/2006 a Presedintelui A.N.S.P.D.C.P., au fost stabilite situatiile in care notificarea nu este necesara, fiind vizate cazurile in care prelucrarea datelor se realizeaza in scopul indeplinirii unor obligatii legale, spre exemplu, atunci cand prelucrarea datelor cu caracter personal referitoare la petitionari este efectuata de autoritatile si institutiile publice centrale si locale, in scopul indeplinirii unor obligatiile legale, ori cand prelucrarea datelor cu caracter personal referitoare la proprii angajati este efectuata de catre entitatile de drept public si privat in vederea respectarii unor indatoriri legale.

Referitor la protectia unor categorii speciale de date, legiuitorul interzice pre lucrarea datelor cu caracter personal privind starea de sanatate sau viata sexuala. Totusi, in conformitate cu dispozitiile art. 7 alin. 2 si art. 9 alin. 1 din legea nr. 677/2001, datele cu caracter personal privind starea de sanatate pot fi prelucrate in urmatoarele cazuri: cind persoana vizata si-a dat consimtamantul; cand prelucrarea este necesara pentru respectarea obligatiilor specifice operatorului in domeniul dreptului muncii; cand prelucrarea este necesara pentru protectia vietii, integritatii sau a sanatatii persoanei vizate; cand prelucrarea este efectuata de catre o asociatie sau fundatie in cadrul activitatilor sale legitime, iar persoana vizata este membra a acestei organizatii ori se afla cu aceasta organizatie in raporturi derivate din activitatea specifica a organizatiei; cand prelucrarea vizeaza date facute publice de catre persoana vizata; cind prelucrarea este necesara apararii unui drept in justitie; cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuata de catre ori sub supravegherea unui cadru medical supus secretului profesional ori de catre sau sub supravegherea unei alte persoane supuse unei obligatii echivalente in ceea ce priveste confidentialitatea; cand legea prevede in mod expres ca prelucrarea datelor se impune in scopul protejarii unui interes public important; daca prelucrarea este necesara pentru protectia sanatatii publice; atunci cand se impune prelucrarea datelor pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii unor fapte penale, pentru impiedicarea producerii rezultatului unei asemenea fapte sau pentru inlaturarea urmarilor sale prejudiciabile. Cadrele medicale, institutiile de sanatate si personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sanatate, fara autorizatia autoritatii de supraveghere numai daca prelucrarea este necesara pentru protejarea vietii, integritatii fizice sau a sanatatii persoanei vizate. Cand aceste scopuri se refera la alte persoane, iar persoana vizata nu si-a dat consimtamantul, este necesara obtinerea in prealabil a autorizatiei autoritatii de supraveghere in vederea prelucrarii datelor.

Aceasta autorizatie se acorda, de catre A.N.S.P.D.C.P., cu exceptia motivelor de urgenta, numai dupa obtinerea avizului consultativ al Colegiului Medicilor din Romania. Potrivit Deciziei nr. 101/2008 a Presedintelui A.N.S.P.D.C.P privind procedura emiterii autorizatiei pentru prelucrarea datelor cu caracter personal privind starea de sanatate, in cadrul procedurii de emitere a autorizatiei se impune respecta rea de catre operator a urmatoarelor cerinte: notificarea Autoritatii Nationale de Supraveghere in conditiile art. 22 din Legea nr. 677/2001 si depunerea unei cereri insotita de documente justificative, indicandu-se scopul prelucrarii, categoria de persoane vizate, datele care urmeaza a fi prelucrate, data estimata pentru incheierea operatiunilor de prelucrare, sursa de colectare a datelor si descrierea conditiilor de prelucrare.

In ceea ce priveste dreptul de acces la date, in cazul datelor cu caracter personal legate de starea de sanatate, orice persoana vizata poate solicita operatorului, direct sau prin intermediul unui cadru medical desemnat de persoana vizata, sa i se comunice daca datele sale personale sunt sau nu prelucrate de catre operator. In cazul in care datele cu caracter personal legate de starea de sanatate sunt prelucrate in scop de cercetare stiintifica, daca nu exista, cel putin aparent, riscul de a aduce atingere drepturilor persoanei vizate, comunicarea acestor informatii poate fi realizata de catre operator si intr-un termen mai mare decit cel uzual de 15 zile, in masura in care respectarea stricta a termenului ar afecta bunul mers sau rezultatele cercetarii. In aceasta situatie insa, trebuie sa existe consimtamantul neechivoc al persoanei vizate cu privire prelucrarea datelor in scopul realizarii unor cercetari stiintifice si cu privire la eventuala depasire a termenului de 15 zile pentru comunicarea informatiilor solicitate.

In vederea apararii drepturilor prevazute de Legea nr. 677/2001, persoanele ale caror date cu caracter personal fac obiectul unei prelucrari pot inainta plangere catre autoritatea de supraveghere. Autoritatea de supraveghere, daca va considera plangerea intemeiata, va putea dispune suspendarea provizorie, incetarea prelucrarii datelor, stergerea partiala ori integrala a datelor prelucrate si poate sa sesizeze organele de urmarire penala ori sa intenteze actiuni in justitie. De asemenea, in cazul prelucrarii nelegale a datelor, a neindeplinirii obligatiilor privind confidentialitatea si securitatea, cat si a refuzului de a furniza informatii, autoritatea de supraveghere poate constata caracterul contraventional al acestor fapte, cu aplicarea amenzilor prevazute de Legea nr.

677/2001. Decizia cu privire la plangerea persoanei vizate se comunica petentului de catre autoritatea de supraveghere in termen de 30 de zile de la data primirii plangerii. Impotriva oricarei decizii emise de autoritatea de supraveghere, persoana vizata poate formula contestatie in termen de 15 zile de la comunicare la instanta de contencios administrativ competenta.