Legea 677/2001 face referiri stricte la prelucrarile de date personale si se aplica prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori stabiliti in Romania, prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de misiunile diplomatice sau de oficiile consulare ale Romaniei, precum si prelucrarilor de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de operatori care nu sunt stabiliti in Romania, prin utilizarea de mijloace de orice natura situate pe teritoriul Romaniei, cu exceptia cazului in care aceste mijloace nu sunt utilizate decat in scopul tranzitarii pe teritoriul Romaniei a datelor cu caracter personal care fac obiectul prelucrarilor respective.
De mentionat ca datele cu caracter personal reprezinta orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.
In ceea ce priveste responsabilitatile ce revin operatorilor de date, potrivit art. 22, acestia sunt obligati sa notifice prelucrarile pe care le efectueaza la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu mentiunea ca aceasta notificare se transmite autoritatii de supraveghere, personal sau prin reprezentant, inainte de inceperea oricarei prelucrari ori a oricarui ansamblu de prelucrari avand acelasi scop sau scopuri corelate.
In cazul unui transfer in strainatate al datelor cu caracter personal, se vor aplica prevederile Capitolului VII:
"Art. 29. - (1) Transferul catre un alt stat de date cu caracter personal care fac obiectul unei prelucrari sau sunt destinate sa fie prelucrate dupa transfer poate avea loc numai in conditiile in care nu se incalca legea romana, iar statul catre care se intentioneaza transferul asigura un nivel de protectie adecvat.
(2) Nivelul de protectie va fi apreciat de catre autoritatea de supraveghere, tinand seama de totalitatea imprejurarilor in care se realizeaza transferul de date, in special avand in vedere natura datelor transmise, scopul prelucrarii si durata propusa pentru prelucrare, statul de origine si statul de destinatie finala, precum si legislatia statului solicitant. In cazul in care autoritatea de supraveghere constata ca nivelul de protectie oferit de statul de destinatie este nesatisfacator, poate dispune interzicerea transferului de date.
(3) In toate situatiile transferul de date cu caracter personal catre un alt stat va face obiectul unei notificari prealabile a autoritatii de supraveghere.
(4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal catre un stat a carui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de legea romana atunci cand operatorul ofera garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sa fie stabilite prin contracte incheiate intre operatori si persoanele fizice sau juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile alin. (2), (3) si (4) nu se aplica daca transferul datelor se face in baza prevederilor unei legi speciale sau ale unui acord international ratificat de Romania, in special daca transferul se face in scopul prevenirii, cercetarii sau reprimarii unei infractiuni.
(6) Prevederile prezentului articol nu se aplica atunci cand prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice, daca datele au fost facute publice in mod manifest de catre persoana vizata sau sunt strans legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor in care este implicata."
Prin urmare, operatorii sunt obligati ca inainte de transfer sa detina autorizatia autoritatii de supraveghere, in cazul in care aceasta este obligatorie, potrivit acestor prevederi legale. De asemenea, in cazul transferului de date sunt aplicabile si dispozitiile deciziei 28/2007 a presedintelui ANSPDCP.
Obligatiile ce deriva din aplicarea Legii nr.677/2001 se stabilesc in mod concret in functie de specificul situatiei in colaborare cu institutia in a carei competenta legala intra primirea si analizarea notificarilor privind prelucrarea datelor cu caracter personal dar si autorizarea prelucrarilor de date, respectiv cu Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.