Legea nr. 238/2009 Republicare *)
M. Of. nr. 474
din 12 iulie 2012
LEGE
privind
reglementarea prelucrării datelor cu caracter personal de către
structurile/unitățile Ministerului Administrației și Internelor în activitățile
de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere
și asigurare a ordinii publice
CAPITOLUL I:
Dispoziții
generale
Art. 1. (1) Prezenta
lege reglementează prelucrarea automată și neautomată a datelor cu caracter
personal pentru realizarea activităților de prevenire, cercetare și combatere a
infracțiunilor, precum și de menținere și asigurare a ordinii publice de către
structurile/unitățile Ministerului Administrației și Internelor, potrivit
competențelor acestora.
(2) Structurile/Unitățile
Ministerului Administrației și Internelor, denumite în continuare structurile/unitățile M.A.I., care
desfășoară, potrivit competențelor, activitățile prevăzute la alin. (1),
în calitate de operatori, dobândite în condițiile Legii nr. 677/2001 pentru protecția persoanelor cu privire la
prelucrarea datelor cu caracter personal și libera circulație a acestor date,
cu modificările și completările ulterioare, prelucrează date cu caracter
personal în exercitarea atribuțiilor legale.
(3) Prezenta lege nu se
aplică prelucrărilor și transferului de date cu caracter personal efectuate în
îndeplinirea atribuțiilor legale de structurile/unitățile M.A.I. în
domeniul apărării naționale și securității naționale, în limitele și cu
restricțiile stabilite de lege.
Art. 2. În
înțelesul prezentei legi, termenii și expresiile de mai jos au următoarea
semnificație:
a) interconectare operațiunea
de a pune în legătură datele cu caracter personal cuprinse într-un fișier, bază
de date sau sistem de evidență automat cu cele cuprinse într-unui sau mai multe
fișiere, baze de date sau sisteme de evidență automate care sunt gestionate de
operatori diferiți sau de către același operator, dar având scopuri diferite,
similare sau corelate, după caz;
b) semnalare setul
de date introduse într-un sistem de evidență a datelor cu caracter personal
referitoare la persoane sau bunuri cu privire la care au fost dispuse unele
măsuri, în condițiile legii, în vederea realizării unui interes public, a
respectării regimului liberei circulații a persoanelor și bunurilor sau a
asigurării ori menținerii ordinii și siguranței publice;
c) blocare marcarea
unor date cu caracter personal stocate, în scopul limitării prelucrării pe
viitor;
d) atribuirea
de referințe marcarea unor date cu caracter personal stocate,
fără a avea ca scop limitarea prelucrării lor ulterioare;
e) transformarea
în date anonime modificarea datelor cu caracter personal,
astfel încât detaliile privind circumstanțele personale sau materiale să nu mai
permită atribuirea acestora unei persoane fizice identificate sau
identificabile sau atribuirea să fie posibilă doar în condițiile unei
investiții disproporționate de timp, costuri și forță de muncă;
f) consimțământul
persoanei vizate orice manifestare de voință, liberă, specifică
și informată, prin care persoana vizată acceptă să fie prelucrate datele cu
caracter personal care o privesc;
g) evidență
pasivă fișier sau bază de date cu caracter personal constituit
în scopul accesării limitate și ulterior ștergerii datelor stocate din sistemul
de evidență.
Art. 3. (1) Pentru
realizarea activităților prevăzute la art. 1 alin. (1),
structurile/unitățile M.A.I. constituie, organizează și dețin, potrivit
atribuțiilor legale, sisteme de evidență și utilizează mijloace automate și
neautomate de prelucrare a datelor cu caracter personal, în condițiile legii.
(2) Structurile/Unitățile M.A.I. utilizează
sisteme de evidență și/sau mijloace automate și neautomate de prelucrare a
datelor cu caracter personal, cu respectarea drepturilor omului și aplicarea
principiilor legalității, necesității, confidențialității, proporționalității
și numai dacă, prin utilizarea acestora, este asigurată protecția datelor
prelucrate.
(3) Înaintea introducerii unui sistem
de evidență sau a unui mijloc automat/neautomat de prelucrare a datelor cu
caracter personal care este susceptibil să prezinte anumite riscuri privind
datele prelucrate, structurile/unitățile M.A.I. consultă Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită
în continuare Autoritatea națională de supraveghere,
care, dacă este cazul, stabilește garanții adecvate, potrivit legii.
CAPITOLUL II:
Notificarea
prelucrărilor datelor cu caracter personal
Art. 4. (1) Prelucrările
de date cu caracter personal sunt notificate Autorității naționale de
supraveghere. Notificarea se efectuează anterior oricărei prelucrări, în
condițiile legii.
(2) Notificarea prelucrării automate
sau neautomate a datelor cu caracter personal prin sisteme de evidență a
datelor cu caracter personal, realizată potrivit legii de către
structurile/unitățile M.A.I., cuprinde, pe lângă informațiile prevăzute la art. 22
alin. (8) din Legea nr. 677/2001,
cu modificările și completările ulterioare, în mod corespunzător și informații
referitoare la natura fiecărui sistem de evidență a datelor cu caracter
personal care are legătură cu prelucrarea, precum și la destinatarii cărora le
sunt comunicate datele.
(3) Notificarea prelucrării datelor cu
caracter personal prin sisteme de evidență constituite în anumite cazuri numai
pentru perioada necesară realizării unor activități de prevenire, cercetare și
combatere a infracțiunilor, precum și de menținere și asigurare a ordinii
publice se face cu respectarea condițiilor prevăzute la alin. (2), numai
dacă prelucrarea nu a făcut obiectul unei notificări anterioare.
CAPITOLUL III:
Colectarea
datelor cu caracter personal
Art. 5. (1) Pentru
realizarea activităților prevăzute la art. 1 alin. (1), structurile/unitățile
M.A.I. colectează date cu caracter personal, cu sau fără consimțământul
persoanei vizate, în condițiile legii.
(2) Colectarea datelor cu caracter
personal fără consimțământul persoanei vizate pentru realizarea activităților
prevăzute la art. 1 alin. (1) se face numai dacă această măsură
este necesară pentru prevenirea unui pericol iminent cel puțin asupra vieții,
integrității corporale sau sănătății unei persoane ori a proprietății acesteia,
precum și pentru combaterea unei anumite infracțiuni.
(3) Colectarea datelor cu caracter
personal pentru realizarea activităților prevăzute la art. 1 alin. (1) se
efectuează de personalul structurilor/unităților M.A.I. numai în scopul
îndeplinirii atribuțiilor de serviciu.
(4) Colectarea datelor cu caracter
personal în scopurile prevăzute la art. 1 alin. (1) trebuie să
fie limitată la datele necesare pentru prevenirea unui pericol iminent cel
puțin asupra vieții, integrității corporale sau sănătății unei persoane ori a
proprietății acesteia, precum și pentru combaterea unei anumite infracțiuni.
(5) Colectarea de date privind
persoana fizică exclusiv datorită faptului că aceasta are o anumită origine
rasială, anumite convingeri religioase ori politice, un anumit comportament
sexual sau datorită apartenenței acesteia la anumite mișcări ori organizații
care nu contravin legii este interzisă.
(6) Prin excepție de la prevederile
alin. (5), structurile/unitățile M.A.I. colectează și prelucrează, cu
respectarea garanțiilor prevăzute de Legea nr. 677/2001,
cu modificările și completările ulterioare, date exclusiv în baza acestor
criterii numai dacă, într-un caz determinat, sunt necesare pentru efectuarea
actelor premergătoare sau a urmăririi penale, ca urmare a săvârșirii unei
infracțiuni. Prevederile art. 4 se aplică în mod corespunzător.
(7) Prevederile alin. (6) nu
aduc atingere dispozițiilor legale care reglementează obligația autorităților
publice de a respecta și de a ocroti viața intimă, familială și privată.
CAPITOLUL IV:
Stocarea
datelor cu caracter personal
Art. 6. (1) Pentru
realizarea scopurilor activităților prevăzute la art. 1 alin. (1),
structurile/unitățile M.A.I. stochează numai acele date cu caracter
personal care sunt exacte, complete și necesare îndeplinirii atribuțiilor
legale sau obligațiilor rezultate din instrumente juridice internaționale la
care România este parte.
(2) Stocarea diferitelor categorii de
date cu caracter personal se realizează prin ordonarea acestora în funcție de
gradul lor de acuratețe și exactitate. Datele cu caracter personal bazate
pe opinii și interpretări personale rezultate din activitățile prevăzute la art. 1
alin. (1) sunt ordonate în mod distinct.
(3) Structurile/Unitățile M.A.I. au
obligația de a verifica periodic calitatea datelor prevăzute la alin. (2),
conform regulilor stabilite potrivit art. 31 alin. (1) lit. b).
(4) În situația în care datele cu
caracter personal stocate se dovedesc a fi inexacte sau incomplete,
structurile/unitățile M.A.I. care le dețin au obligația să le șteargă,
distrugă, modifice, actualizeze sau, după caz, să le completeze.
(5) Structurile/Unitățile M.A.I. stochează
datele cu caracter personal colectate în scopuri administrative separat de
datele cu caracter personal colectate în scopurile prevăzute la art. 1
alin. (1).
Art. 7. (1) Datele
cu caracter personal se blochează atunci când există motive întemeiate să se
considere că ștergerea lor ar putea afecta drepturile, libertățile și
interesele legitime ale persoanei vizate.
(2) Datele blocate se
prelucrează doar în scopul care a împiedicat ștergerea lor.
(3) Datele blocate se
șterg de îndată ce nu mai sunt necesare scopului prevăzut la alin. (2).
Art. 8. Structurile/Unitățile
M.A.I. prelucrează suplimentar date cu caracter personal, într-un alt scop
decât cel pentru care datele au fost colectate, dacă sunt îndeplinite
următoarele condiții:
a) prelucrarea este
compatibilă cu scopul în care au fost colectate datele;
b) scopul în care
urmează a fi prelucrate suplimentar datele cu caracter personal de către
structurile/unitățile M.A.I. sau entitățile cărora urmează să le fie
comunicate datele se încadrează în atribuțiile sau, după caz, obligațiile ce le
revin potrivit legii;
c) prelucrarea este
necesară și proporțională în raport cu noul scop.
CAPITOLUL V:
Comunicarea
datelor cu caracter personal
Art. 9. (1) Comunicarea
datelor cu caracter personal între structurile/unitățile M.A.I. se face
numai în cazul în care este necesară pentru exercitarea competențelor și
îndeplinirea atribuțiilor legale ce le revin.
(2) Comunicarea de date
cu caracter personal către alte autorități sau instituții publice se poate
efectua numai în următoarele situații:
a) în baza unei
prevederi legale exprese ori cu autorizarea Autorității naționale de
supraveghere;
b) când datele sunt
indispensabile îndeplinirii atribuțiilor legale ale destinatarului și numai
dacă scopul în care se face colectarea sau prelucrarea de către destinatar nu
este incompatibil cu scopul pentru care datele au fost colectate de
structurile/unitățile M.A.I., iar comunicarea datelor de structurile/unitățile
M.A.I. se realizează în conformitate cu atribuțiile legale ale acestora.
(3) Prin excepție de la
prevederile alin. (2), comunicarea datelor cu caracter personal către alte
autorități sau instituții publice este permisă în următoarele situații:
a) persoana vizată și-a
exprimat consimțământul expres și neechivoc pentru comunicarea datelor sale;
b) comunicarea este
necesară pentru a preveni un pericol grav și iminent cel puțin asupra vieții,
integrității corporale sau sănătății unei persoane ori a proprietății acesteia.
(4) Comunicarea datelor
cu caracter personal către entități de drept privat care își desfășoară
activitatea pe teritoriul României se efectuează numai dacă există o obligație
legală expresă sau cu autorizarea Autorității naționale de supraveghere.
(5) Prin excepție de la
prevederile alin. (4), comunicarea datelor cu caracter personal către
entități de drept privat care își desfășoară activitatea pe teritoriul României
sau în afara acestuia este permisă dacă persoana vizată și-a dat consimțământul
în mod expres și neechivoc pentru comunicarea datelor sale sau dacă este
necesară pentru a preveni un pericol grav și iminent cel puțin asupra vieții,
integrității corporale sau sănătății unei persoane ori a proprietății acesteia
sau a unei alte persoane amenințate.
Art. 10. (1) Datele
cu caracter personal deținute de structurile/unitățile M.A.I. potrivit
scopurilor prevăzute la art. 1 alin. (1) pot fi transferate
următorilor destinatari:
a) autorităților
polițienești, judiciare sau altor autorități competente din statele membre ori
organismelor sau instituțiilor Uniunii Europene cu atribuții în domeniul
cooperării polițienești ori judiciare în materie penală;
b) Organizației
Internaționale a Poliției Criminale Interpol sau altor instituții
internaționale similare;
c) organismelor de
poliție din state terțe.
(2) Transferul datelor
cu caracter personal prevăzut la alin. (1) se realizează în una
dintre următoarele situații:
a) există o prevedere
legală expresă în legislația națională sau într-un tratat ratificat de România;
b) există prevederi
legale care reglementează cooperarea polițienească sau cooperarea judiciară
internațională în materie penală;
c) când transferul este
necesar pentru prevenirea unui pericol grav și iminent asupra vieții,
integrității corporale sau sănătății unei persoane ori a proprietății acesteia,
precum și pentru combaterea unei infracțiuni grave prevăzute de lege, cu
respectarea legii române.
Art. 11. (1) Cererile
pentru comunicarea datelor cu caracter personal adresate
structurilor/unităților M.A.I. de către alte structuri/unități ale M.A.I.,
alte autorități sau instituții publice, entități de drept privat care își
desfășoară activitatea pe teritoriul României sau în afara acestuia și
organisme de poliție ale altor state trebuie să conțină datele de identificare
a solicitantului, precum și motivarea și scopul cererii, conform prevederilor
legale interne sau celor cuprinse în acordurile internaționale la care România
este parte. Cererile care nu conțin aceste date și nu sunt conforme
prevederilor legale interne sau celor cuprinse în acordurile internaționale la
care România este parte se resping.
(2) Înainte de
comunicare, structurile/unitățile M.A.I. verifică dacă datele solicitate
sunt exacte, complete și actualizate. În cazul în care se constată că nu
sunt corecte, complete sau actualizate, datele nu se comunică. În
comunicări trebuie indicate, după caz, datele care rezultă din hotărâri ale
instanțelor judecătorești ori din actele prin care s-a dispus neînceperea
urmăririi penale, clasarea, scoaterea de sub urmărire penală, încetarea
urmăririi penale sau trimiterea în judecată, precum și datele bazate pe opinii
și interpretări personale rezultate din activitățile prevăzute la art. 1
alin. (1). Datele bazate pe opinii și interpretări personale
rezultate din activitățile prevăzute la art. 1 alin. (1) trebuie
verificate la sursă înainte de a fi comunicate, iar gradul de acuratețe și
exactitate al acestor date trebuie întotdeauna menționat cu ocazia comunicării.
(3) În situația în care
au fost transmise date incorecte sau neactualizate, structurile/unitățile M.A.I. au
obligația să îi informeze pe destinatarii respectivelor date asupra
neconformității acestora, cu menționarea datelor care au fost modificate sau,
dacă este cazul, cu precizarea că datele transmise trebuie rectificate, șterse
ori blocate.
(4) În situația în care
se constată că au fost transmise date cu caracter personal în mod ilegal,
structurile/unitățile M.A.I. au obligația de a-i informa pe destinatarii
acestor date, cu precizarea că datele transmise trebuie șterse de îndată.
(5) În situația în care
se constată că structurilor/unităților M.A.I. le-au fost transmise date cu
caracter personal incorecte sau neactualizate, datele se rectifică, se șterg
sau, după caz, se blochează, în condițiile legii. Dacă
structurilor/unităților M.A.I. le sunt transmise în mod eronat sau ilegal
astfel de date, acestea se șterg sau, după caz, se blochează de îndată. Entitatea
care a transmis datele este informată cu privire la măsura adoptată și motivul
adoptării acesteia.
(6) În cazul în care
structurilor/unităților M.A.I. le sunt transmise, potrivit legii, date cu
caracter personal nesolicitate, acestea au obligația de a verifica dacă datele
sunt necesare în scopul pentru care au fost transmise. Datele care nu sunt
necesare scopului se șterg sau, după caz, se blochează de îndată. Entitatea
care a transmis datele este informată cu privire la măsura adoptată și motivul
adoptării acesteia.
Art. 12. (1) La
comunicarea datelor cu caracter personal către alte autorități sau instituții
publice, entități de drept privat care își desfășoară activitatea pe teritoriul
României sau în afara acestuia, ori către destinatarii prevăzuți la art. 10
alin. (1), structurile/unitățile M.A.I. atenționează destinatarii
asupra interdicției de a prelucra datele comunicate în alte scopuri decât cele
specificate în cererea de comunicare.
(2) La comunicarea
datelor cu caracter personal potrivit alin. (1) i se indică
destinatarului limitări ale prelucrării, dacă este cazul, și termene de
păstrare adecvate și se precizează obligația de a șterge datele cu caracter
personal transmise la expirarea termenului indicat sau, dacă este cazul, de a
proceda la blocarea acestora. Termenele de păstrare comunicate nu pot
depăși termenele stabilite prin prevederi legale ori, după caz, cele stabilite
de structurile/unitățile M.A.I. prin reguli proprii, potrivit
dispozițiilor art. 31, pentru acele categorii de date cu caracter personal
pe care le dețin și urmează să facă obiectul comunicării.
(3) În cazul în care se
comunică date cu caracter personal destinatarilor prevăzuți la art. 10
alin. (1) lit. a), pot fi comunicate limitări ale prelucrării
doar dacă acestea sunt stabilite de lege, iar termenele de păstrare sunt cele
stabilite prin prevederi legale ori, după caz, de structurile/unitățile M.A.I. prin
reguli proprii, potrivit dispozițiilor art. 31.
(4) Prelucrarea datelor
de către destinatari în alte scopuri decât cele care au format obiectul cererii
se poate realiza numai cu acordul structurilor/unităților M.A.I. care
le-au comunicat și numai cu respectarea prevederilor art. 9 alin. (2)-(5) și
ale art. 10.
(5) Structurile/Unitățile
M.A.I. pot solicita destinatarilor prevăzuți la alin. (1), cărora
le-au fost comunicate date cu caracter personal, informații cu privire la modul
în care acestea au fost prelucrate.
Art. 13. (1) Pentru
datele cu caracter personal comunicate de către alte autorități competente sau
entități de drept privat din afara teritoriului României, în cazul în care este
precizat un termen de păstrare a datelor, structurile/unitățile M.A.I. au
obligația de a șterge ori, după caz, de a bloca datele la expirarea termenului
de păstrare a datelor indicat. În cazul în care nu este precizat un termen
de păstrare a datelor, sunt aplicabile termenele de stocare a datelor cu
caracter personal, stabilite pentru acele categorii de date de către
structurile/unitățile M.A.I., potrivit dispozițiilor art. 31.
(2) În cazul datelor cu
caracter personal prevăzute la alin. (1), structurile/unitățile M.A.I. au
obligația de a verifica periodic, o dată la 3 ani, necesitatea stocării
acestora.
(3) Datele cu caracter
personal a căror stocare nu mai este necesară se șterg sau, după caz, se
blochează, chiar dacă nu s-a împlinit termenul precizat de entitatea care le-a
transmis Ori cel prevăzut de regulile stabilite potrivit dispozițiilor art. 31.
(4) Dispozițiile alin. (1) nu
se aplică dacă la momentul expirării termenului de păstrare a datelor, indicat
de autoritatea competentă sau entitatea de drept privat din afara teritoriului
României, datele cu caracter personal sunt în continuare necesare pentru
efectuarea de acte premergătoare în vederea începerii urmăririi penale, pentru
desfășurarea urmăririi penale sau pentru executarea unei pedepse.
Art. 14. Datele
cu caracter personal comunicate de către autoritățile competente ale unui stat
membru al Uniunii Europene, denumit în continuare stat membru, pot fi prelucrate suplimentar de către
structurile/unitățile M.A.I., în alt scop decât cel pentru care au fost
transmise, în una dintre următoarele situații:
a) pentru prevenirea,
constatarea, cercetarea sau urmărirea penală a infracțiunilor ori executarea
pedepselor, altele decât cele pentru care au fost comunicate;
b) pentru derularea
altor proceduri judiciare sau administrative direct legate de prevenirea,
constatarea, cercetarea ori urmărirea penală a infracțiunilor ori executarea
pedepselor;
c) pentru prevenirea
unui pericol iminent și grav la adresa ordinii și siguranței publice;
d) în orice alt scop,
cu consimțământul prealabil al statului membru care transmite sau cu
consimțământul persoanei vizate, potrivit legii.
Art. 15. (1) Datele
cu caracter personal comunicate de către autoritățile competente ale unui alt
stat membru pot fi transferate de structurile/unitățile M.A.I. către
autorități competente dintr-un stat care nu este membru al Uniunii Europene,
denumit în continuare stat terț, sau
către organisme internaționale, numai dacă sunt îndeplinite, cumulativ, următoarele
condiții:
a) se impune pentru
prevenirea, constatarea, cercetarea sau urmărirea penală a infracțiunilor ori
executarea pedepselor;
b) datele cu caracter
personal sunt comunicate organismului internațional ori autorității statului
terț competente în prevenirea, constatarea, cercetarea sau urmărirea penală a
infracțiunilor sau pentru executarea pedepselor;
c) există acordul
statului membru care a comunicat datele pentru transfer;
d) statul terț sau
organismul internațional în cauză asigură un nivel corespunzător de protecție
pentru prelucrarea de date urmărită.
(2) Datele cu caracter
personal pot fi comunicate în condițiile prevăzute la alin. (1), fără
acordul statului membru, numai dacă transferul de date este strict necesar
pentru prevenirea unui pericol grav și iminent la adresa ordinii și siguranței
publice a unui stat membru ori a unui stat terț sau a intereselor fundamentale
ale unui stat membru, iar acordul prealabil nu poate fi obținut în timp util.
(3) În situația
prevăzută la alin. (2), unitatea/structura M.A.I. care efectuează
comunicarea de date cu caracter personal are obligația de a informa de îndată
autoritatea competentă din statul membru care a furnizat datele.
(4) Prin excepție de la
prevederile alin. (1) lit. d), datele cu caracter personal pot
fi comunicate către autoritățile competente dintr-un stat terț sau către
organismele internaționale, cu respectarea dispozițiilor art. 30 lit. d) ori
e) din Legea nr. 677/2001, cu modificările
și completările ulterioare.
Art. 16. (1) Datele
cu caracter personal comunicate de către autoritățile competente ale unui alt
stat membru pot fi transferate către entități de drept privat dintr-un stat
membru, altul decât cel care a furnizat datele, numai dacă sunt îndeplinite,
cumulativ, următoarele condiții:
a) autoritatea
competentă din statul membru care a comunicat datele și-a dat acordul pentru
efectuarea prelucrării;
b) niciun interes
specific legitim al persoanei vizate nu împiedica transmiterea;
c) în situații
specifice, comunicarea este esențială pentru autoritatea competentă care
transmite date unei entități private.
(2) Cazurile specifice
pentru care se consideră îndeplinită condiția prevăzută la alin. (1) lit. c) sunt
determinate de următoarele situații:
a) îndeplinirea unei
obligații prevăzute de lege în sarcina entității private;
b) prevenirea,
constatarea, cercetarea sau urmărirea penală a infracțiunilor ori executarea
pedepselor;
c) prevenirea unui
pericol iminent și grav la adresa ordinii și siguranței publice;
d) prevenirea unei
vătămări grave a drepturilor persoanei.
(3) Structurile/Unitățile
M.A.I. au obligația de a informa entitățile de drept privat cărora le sunt
comunicate datele potrivit alin. (1) cu privire la scopurile pentru
care, în mod exclusiv, pot fi utilizate datele cu caracter personal comunicate.
Art. 17. La
cerere, structurile/unitățile M.A.I. informează autoritățile competente
ale unui alt stat membru care au transmis date cu caracter personal cu privire
la modul în care acestea au fost prelucrate, în termen de 15 zile de la
înregistrarea solicitării.
Art. 18. (1) Pentru
realizarea activităților de cercetare și combatere a infracțiunilor,
structurile/unitățile M.A.I. pot interconecta sistemele de evidență a datelor
cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor
cu caracter personal pe care le dețin pentru scopuri diferite.
(2) În scopul prevăzut
la alin. (1), interconectarea sistemelor de evidență a datelor cu caracter
personal sau a mijloacelor automate de prelucrare a datelor cu caracter
personal, constituite potrivit art. 3, se poate realiza și cu sistemele de
evidență ori cu mijloacele automate de prelucrare a datelor cu caracter
personal deținute de alți operatori, autorități și instituții publice
naționale.
(3) Interconectările
prevăzute la alin. (1) și (2) sunt posibile numai cu acordul
prealabil al Autorității naționale de supraveghere. În cazul obținerii
acordului prealabil, structura/unitatea M.A.I. notifică prelucrarea Autorității
naționale de supraveghere, în condițiile prevăzute la art. 4.
(4) În scopul prevăzut
la alin. (1), interconectarea sistemelor de evidență a datelor cu caracter
personal sau a mijloacelor automate de prelucrare a datelor cu caracter
personal, constituite potrivit art. 3, se poate realiza și cu sistemele de
evidență sau cu mijloacele automate de prelucrare a datelor cu caracter
personal deținute de alți operatori, entități de drept privat.
(5) Interconectările
prevăzute la alin. (4) sunt permise numai în cazul efectuării actelor
premergătoare, al urmăririi penale sau al judecării unei infracțiuni în baza
unei autorizări emise de procurorul competent să efectueze ori să supravegheze,
într-un caz determinat, efectuarea actelor premergătoare sau urmărirea penală
ori, în căzui judecării unei infracțiuni, de judecătorul anume desemnat de la
instanța căreia îi revine competența de a judeca fondul cauzei pentru care sunt
prelucrate datele respective.
(6) Accesul direct sau
printr-un serviciu de comunicații electronice la un sistem de evidență a
datelor cu caracter personal care face obiectul interconectării, potrivit alin. (1),
este permis numai în condițiile legii și cu respectarea prevederilor art. 1
alin. (1) și ale art. 6-24.
Art. 19. (1) În
cazul activităților de prevenire a infracțiunilor, de menținere și de asigurare
a ordinii publice, sistemele de evidență a datelor cu caracter personal sau
mijloacele automate de prelucrare a datelor cu caracter personal, constituite
potrivit art. 3, pot fi interconectate cu:
a) Registrul național
de evidență a persoanelor;
b) Registrul național
de evidență a pașapoartelor simple;
c) Registrul național
de evidență a permiselor de conducere și a vehiculelor înmatriculate,
(2) În cazul
activităților prevăzute la alin. (1), structurile/ unitățile M.A.I. pot
interconecta sistemele de evidență a datelor cu caracter personal sau, după
caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care
le dețin pentru scopuri similare ori corelate.
(3) Interconectările
prevăzute la alin. (1) și (2) se notifică Autorității naționale
de supraveghere prin modificarea/ completarea notificării sau depunerea unei
noi notificări.
(4) În cazul
activităților prevăzute la alin. (1), structurile/ unitățile M.A.I. pot
interconecta sistemele de evidență a datelor cu caracter personal sau, după
caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care
le dețin pentru scopuri diferite, numai cu acordul prealabil al Autorității
naționale de supraveghere. În cazul obținerii acordului,
structurile/unitățile M.A.I. notifică prelucrarea datelor Autorității
naționale de supraveghere prin modificarea/completarea notificării sau
depunerea unei noi notificări.
(5) Dispozițiile alin. (1)-(4) sunt
aplicabile și în cazul activităților de control la frontieră, executate, în
condițiile legii, de structura specializată a M.A.I, care impun interconectarea
sistemelor de evidență a datelor cu caracter personal sau a mijloacelor
automate de prelucrare a datelor cu caracter personal, constituite potrivit
dispozițiilor art. 3.
Art. 20. (1) Structurile/Unitățile
M.A.I. pot configura sistemele de evidență a datelor cu caracter personal
sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal
pe care le dețin pentru scopuri corelate sau diferite, astfel încât semnalările
cu privire la persoane sau bunuri să fie accesibile în orice sistem ori mijloc
de prelucrare.
(2) Sistemele de
evidență a datelor cu caracter personal sau, după caz, mijloacele automate de
prelucrare a datelor cu caracter personal deținute de structurile/unitățile
M.A.I. se configurează astfel încât niciun utilizator să nu aibă acces
decât la datele cu caracter personal strict necesare desfășurării atribuțiilor
de serviciu. Structurile/Unitățile M.A.I. au obligația de a stabili
categoriile de date la care are acces fiecare utilizator, în scopul
îndeplinirii atribuțiilor de serviciu.
Art. 21. (1) În
cazul sistemelor de evidență constituite potrivit scopurilor prevăzute la art. 1
alin. (1), structurile/unitățile M.A.I. pot permite autorităților,
instituțiilor sau organizațiilor prevăzute la art. 10 accesul direct la
sistemele gestionate, doar în condiții care să asigure securitatea datelor cu
caracter personal, în următoarele situații:
a) în baza unui tratat
ratificat de România;
b) în cadrul
activității de cooperare polițienească și judiciară în materie penală efectuată
în cadrul Uniunii Europene.
(2) Prelucrările
efectuate potrivit alin. (1) se notifică Autorității naționale de
supraveghere în condițiile art. 4.
(3) În situația
prevăzută la alin. (1), prelucrarea datelor cu caracter personal de către
autoritățile, instituțiile sau organizațiile prevăzute la art. 10 se
permite doar pentru scopul stabilit prin tratat ori, după caz, printr-un instrument
juridic al Uniunii Europene.
Art. 22. (1) În
situațiile prevăzute la art. 18 alin. (1), structurile/unitățile
M.A.I., dispun măsurile necesare pentru ca toate prelucrările de date cu
caracter personal să fie înregistrate în sistem într-un fișier de acces, în
scopul monitorizării legalității efectuării prelucrărilor.
(2) Sistemele de
evidență sau mijloacele automate de prelucrare a datelor cu caracter personal
gestionate de către Structurile/unitățile M.A.I. trebuie să fie
configurate astfel încât să genereze fișierele de acces și în situația în care
structurilor/unităților M.A.I. li se permite accesul direct în sistemele
de evidență gestionate de autoritățile, instituțiile sau organizațiile
prevăzute la art. 10.
(3) Fișierele de acces
trebuie să cuprindă cel puțin data, ora exactă, motivul prelucrării, datele de
identificare a autorității, instituției sau, după caz, a organizației care a
efectuat prelucrarea, precum și codul de identificare a utilizatorului care a
efectuat prelucrarea. Dacă este cazul, fișierele de acces pot conține și
datele cu caracter personal care au făcut obiectul prelucrării.
(4) Fișierele de acces
pot fi utilizate doar în scopul verificării legalității prelucrării sau pentru
asigurarea securității datelor cu caracter personal.
Art. 23. La
cerere, structurile/unitățile M.A.I. comunică, în termen de 15 zile,
autorităților competente în domeniul protecției datelor cu caracter personal
din afara teritoriului României, înregistrările referitoare la prelucrările
efectuate în sistemele de evidență gestionate de entitățile din statul a cărui
autoritate a formulat cererea.
CAPITOLUL VI:
Drepturile
persoanei vizate
Art. 24. (1) Structurile/Unitățile
M.A.I. asigură condițiile de exercitare a drepturilor conferite de lege
persoanei vizate, cu respectarea Legii nr. 677/2001,
cu modificările și completările ulterioare, și a prezentei legi.
(2) Prevederile
referitoare la exercitarea drepturilor persoanei vizate, prevăzute de Legea nr. 677/2001, cu modificările și completările ulterioare, nu se
aplică pe perioada în care o asemenea măsură este necesară pentru evitarea
prejudicierii activităților specifice de prevenire, cercetare și combatere a
infracțiunilor, precum și de menținere și asigurare a ordinii publice, ca
urmare a cunoașterii de persoana vizată a faptului că datele sale cu caracter
personal sunt prelucrate, sau este necesară pentru protejarea persoanei vizate
ori a drepturilor și libertăților altor persoane, în cazul în care există date
și informații că aceste drepturi și libertăți sunt puse în pericol.
(3) În cazul aplicării
excepțiilor de la exercitarea drepturilor persoanei vizate, prevăzute la alin. (2),
acestea trebuie motivate în scris. Necomunicarea motivelor este posibilă
numai în măsura în care este necesară bunei desfășurări a activităților
prevăzute la art. 1 alin. (1) sau pentru protejarea drepturilor
și libertăților altor persoane decât persoana vizată.
(4) În toate
situațiile, persoana vizată va fi informată cu privire la dreptul de a se
adresa Autorității naționale de supraveghere sau, după caz, instanței de
judecată, care va decide dacă măsurile luate de structurile/unitățile M.A.I.,
conform prevederilor alin. (2), sunt întemeiate.
(5) În situația în
care, în urma exercitării dreptului de acces sau a dreptului de intervenție,
rezultă că datele cu caracter personal sunt inexacte, irelevante sau
înregistrate în mod abuziv, acestea vor fi șterse sau rectificate prin anexarea
unui document, încheiat în acest sens, la sistemul de evidență ale cărui date
cu caracter personal au suferit modificări, deținut de structurile/unitățile
M.A.I.
(6) Măsurile prevăzute
la alin. (5) se aplică tuturor documentelor care au legătură cu
sistemul de evidență a datelor cu caracter personal. În cazul în care
acestea nu sunt efectuate imediat, se va avea în vedere realizarea lor cel mai
târziu la data prelucrării ulterioare a datelor cu caracter personal sau la o
următoare comunicare a acestora.
(7) În situația în care
structurile/unitățile M.A.I. nu pot da curs cererilor formulate în
exercitarea dreptului de intervenție în scopul rectificării, ștergerii ori,
după caz, blocării datelor cu caracter personal, transmit persoanei vizate un
răspuns scris în care sunt menționate motivele care stau la baza
imposibilității soluționării solicitării, precum și faptul că aceasta are
dreptul de a se adresa Autorității naționale de supraveghere sau, după caz,
instanței de judecată.
Art. 25. (1) În
cazul în care structurile/unitățile M.A.I. formulează cereri pentru
comunicarea datelor cu caracter personal adresate unor autorități competente
ori entități de drept privat din afara teritoriului României, pot solicita ca
persoana vizată să nu fie informată cu privire la prelucrare numai dacă sunt
aplicabile dispozițiile art. 24 alin. (2). La încetarea
motivelor pentru care s-a formulat o astfel de solicitare,
structurile/unitățile M.A.I. informează în scris autoritatea competentă
ori entitatea de drept privat din afara teritoriului României cu privire la faptul
că persoana vizată, ale cărei date cu caracter personal au fost comunicate,
poate fi informată cu privire la această prelucrare.
(2) În cazul în care
autoritățile competente ale unui stat membru solicită, cu ocazia comunicărilor
de date cu caracter personal de către structurile/unitățile M.A.I., ca persoana
vizată să nu fie informată, structurile/unitățile M.A.I. dispun informarea
persoanei vizate doar cu consimțământul autorității competente solicitante.
Art. 26. În
situația în care cererea persoanei vizate în contextul prelucrării datelor cu
caracter personal se referă la o prelucrare efectuată de către o autoritate
competentă ori entitate de drept privat din afara teritoriului României în
sistemele de evidență gestionate de structurile/unitățile M.A.I., prin derogare
de la prevederile art. 13 alin. (3), ale art. 14 alin. (3) și
ale art. 15 alin. (4) din Legea nr. 677/2001,
cu modificările și completările ulterioare, i se răspunde solicitantului cât
mai curând posibil, dar nu mai târziu de 60 de zile de la data primirii cererii. În
acest termen, structurile/unitățile M.A.I. solicită informații autorității
competente ori entității de drept privat din afara teritoriului României care a
efectuat prelucrarea.
Art. 27. (1) În
cazul în care exactitatea unor date cu caracter personal este contestată de
persoana vizată, iar exactitatea sau inexactitatea datelor respective nu se
poate stabili cu certitudine, acestora li se pot atribui referințe. La
cererea persoanei vizate, atribuirea de referințe este obligatorie.
(2) Datele cu caracter
personal cărora le-au fost atribuite referințe nu pot fi comunicate decât în
scopul stabilirii corectitudinii acestora.
(3) Referințele
atribuite potrivit alin. (1) pot fi înlăturate în unul dintre
următoarele cazuri:
a) la solicitarea ori
cu acordul persoanei vizate, atunci când exactitatea sau, după caz,
inexactitatea datelor cu caracter personal a fost stabilită;
b) atunci când există o
hotărâre a instanței de judecată sau autorizarea Autorității naționale de
supraveghere.
Art. 28. (1) Structurile/Unitățile
M.A.I., în calitate de operatori, răspund pentru prejudiciul cauzat persoanei
vizate în urma unei prelucrări de date cu caracter personal, chiar și în
situația în care prejudiciul a fost cauzat prin prelucrarea, în condițiile
legii, a unor date cu caracter personal inexacte furnizate de o autoritate
competentă a unui stat membru.
(2) În situația în care
structurile/unitățile M.A.I. sunt obligate, în condițiile legii, la plata
unor despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a
prelucrării unor date cu caracter personal inexacte furnizate de o autoritate
competentă a unui stat membru, acestea sunt obligate să dispună măsurile
necesare pentru recuperarea sumelor plătite ca despăgubire de la autoritatea
care a furnizat datele respective.
(3) Pentru a se asigura
îndeplinirea obligației prevăzute la alin. (2), structurile/unitățile
M.A.I., care au plătit despăgubiri pentru prejudiciile cauzate persoanei vizate
ca urmare a prelucrării unor date cu caracter personal inexacte, informează
autoritatea competentă din statul membru care a furnizat aceste date și
solicită rambursarea sumei plătite ca despăgubire. Cu această ocazie,
structurile/unitățile M.A.I. comunică faptul că prejudiciul a fost cauzat
exclusiv ca urmare a prelucrării, în condițiile legii, a datelor inexacte
furnizate de autoritatea competentă din statul membru, și nu din culpa
structurii/unității M.A.I. care a primit datele cu caracter personal și
anexează documente din care să rezulte:
a) că
structura/unitatea M.A.I. a fost obligată la plata despăgubirii pentru
prejudiciile cauzate persoanei vizate și că a plătit o sumă de bani;
b) că datele cu
caracter personal ale persoanei vizate provin de la această autoritate
competentă din statul membru;
c) datele de
identificare a contului în care urmează a fi virate sumele de bani.
(4) În situația în care
structurilor/unităților M.A.I. li se solicită de către autorități
competente din statele membre rambursarea unor sume plătite de acestea ca
despăgubiri pentru prejudicii cauzate persoanelor vizate ca urmare a
prelucrării unor date cu caracter personal inexacte furnizate de
structurile/unitățile M.A.I., înainte de plata sumelor solicitate,
structurile/unitățile M.A.I. trebuie să verifice dacă:
a) prejudiciul a fost
cauzat exclusiv ca urmare a prelucrării datelor inexacte furnizate în
condițiile indicate de structura/unitatea M.A.I., și nu din culpa autorității
competente solicitante;
b) solicitarea este
însoțită de documente din care să rezulte că autoritatea competentă din statul
membru a fost obligată la plata despăgubirii pentru prejudiciile cauzate
persoanei vizate ca urmare a furnizării de către structurile/unitățile M.A.I. a
unor informații inexacte și că a plătit o sumă de bani.
CAPITOLUL VII:
Încheierea
operațiunilor de prelucrare a datelor cu caracter personal
Art. 29. (1) Datele
cu caracter personal stocate în îndeplinirea activităților prevăzute la art. 1
alin. (1) se șterg sau se transformă în date anonime atunci când nu
mai sunt necesare scopurilor pentru care au fost colectate ori, după caz, se
blochează, în condițiile legii. În situații justificate, datele pot fi
trecute în evidență pasivă și stocate, pentru o perioadă care nu poate fi mai
mare decât termenul de stocare stabilit inițial potrivit scopului în care au
fost colectate.
(2) Înainte de
ștergerea datelor cu caracter personal, potrivit alin. (1), și dacă
activitățile prevăzute la art. 1 alin. (1) nu mai pot fi
prejudiciate prin cunoașterea faptului că datele cu caracter personal au fost
colectate și stocate, persoana vizată trebuie informată atunci când colectarea
și stocarea datelor s-au efectuat fără consimțământul său.
(3) În condițiile
prevăzute la alin. (2), informarea persoanei vizate se realizează de
structurile/unitățile M.A.I. care au colectat și stocat datele cu caracter
personal ale acesteia, în termen de 15 zile de la momentul în care activitățile
prevăzute la art. 1 alin (1) nu mai pot fi prejudiciate sau, după
caz, de la momentul comunicării către aceste structuri/unități ale M.A.I. a
unei soluții de neîncepere a urmăririi penale, clasare, scoatere de sub
urmărire penală sau încetare a urmăririi penale.
(4) Prin excepție de la
prevederile alin. (1), datele cu caracter personal pot fi stocate și după
îndeplinirea scopurilor pentru care au fost colectate, dacă este necesară
păstrarea acestora. Evaluarea necesității stocării datelor după
îndeplinirea scopurilor pentru care au fost colectate se realizează, în
special, în următoarele situații:
a) datele sunt necesare
în vederea terminării urmăririi penale într-un caz determinat;
b) nu există o hotărâre
judecătorească definitivă;
c) nu a intervenit
reabilitarea;
d) nu a intervenit
prescripția executării pedepsei;
e) nu a intervenit
amnistia;
f) datele fac parte din
categorii speciale de date, potrivit Legii nr. 677/2001,
cu modificările și completările ulterioare.
CAPITOLUL VIII:
Securitatea
datelor cu caracter personal
Art. 30. Structurile/Unitățile
M.A.I. sunt obligate să ia toate măsurile necesare pentru a asigura
securitatea tehnică și organizatorică adecvată a prelucrării datelor cu
caracter personal, astfel încât să prevină accesul, comunicarea sau distrugerea
neautorizată ori alterarea datelor. În acest scop, se au în vedere
diferitele caracteristici ale sistemelor de evidență a datelor cu caracter
personal și conținutul acestora.
CAPITOLUL IX:
Dispoziții
finale
Art. 31. (1) Structurile/Unitățile
M.A.I. care desfășoară activitățile prevăzute la art. 1 alin. (1) au
obligația de a elabora reguli, dacă acestea nu sunt stabilite prin prevederi
legale exprese, cu privire la:
a) termenele de stocare
a datelor cu caracter personal pe care le prelucrează;
b) verificările
periodice asupra datelor cu caracter personal pentru ca acestea să fie exacte,
actuale și complete;
c) ștergerea datelor cu
caracter personal.
(2) În lipsa unor
prevederi legale exprese care să stabilească regulile prevăzute la alin. (1),
structurile/unitățile M.A.I. care desfășoară activitățile prevăzute la art. 1
alin. (1) au obligația ca, în termen de 30 de zile de la data
intrării în vigoare a prezentei legi, să stabilească aceste reguli, cu avizul
Autorității naționale de supraveghere acordat în condițiile legii.
Art. 32 Prevederile
prezentei legi se completează cu dispozițiile Legii nr. 677/2001, cu modificările și completările ulterioare.
*
Prezenta lege transpune în legislația națională Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind
protecția datelor cu caracter personal prelucrate în cadrul cooperării
polițienești și judiciare în materie penală, publicată în Jurnalul Oficial al
Uniunii Europene, seria L, nr. 350 din 30 decembrie 2008 și creează cadrul
juridic necesar aplicării art. 24-32 din Decizia 2008/615/JAI
a Consiliului din 23 iunie 2008 privind intensificarea cooperării
transfrontaliere, în special în domeniul combaterii terorismului și a
criminalității transfrontaliere, publicată în Jurnalul Oficial al Uniunii
Europene, seria L, nr. 210 din 6 august 2008.
*) Republicată în temeiul dispozițiilor art. II din
Legea nr. 81/2012 pentru modificarea și completarea
Legii nr. 238/2009 privind reglementarea prelucrării
datelor cu caracter personal de către structurile/unitățile Ministerului
Administrației și Internelor în activitățile de prevenire, cercetare și
combatere a infracțiunilor, precum și de menținere și asigurare a ordinii
publice, publicată în Monitorul Oficial al României, Partea I, nr. 400 din
14 iunie 2012, dându-se textelor o nouă numerotare.
Legea nr. 238/2009
privind reglementarea prelucrării datelor cu caracter personal de către
structurile/unitățile Ministerului Administrației și Internelor în activitățile
de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere
și asigurare a ordinii publice a fost publicată în Monitorul Oficial al
României, Partea I, nr. 405 din 15 iunie 2009.