Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Administrației și Internelor în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice. (Publicată în Monitorul Oficial al României, Partea I, nr. 405 din 15 iunie 2009).
CAPITOLUL I: Dispoziţii generale
Art. 1
(1)Prezenta lege reglementează prelucrarea automată şi neautomată a datelor cu
caracter personal pentru realizarea activităţilor de prevenire, cercetare şi
combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice
de către structurile/unităţile Ministerului Administraţiei şi Internelor, potrivit
competenţelor acestora.
(2)Structurile/Unităţile Ministerului Administraţiei şi Internelor, denumite în
continuare structurile/unităţile M.A.I., care desfăşoară, potrivit competenţelor,
activităţile prevăzute la alin. (1), în calitate de operatori, dobândite în condiţiile
Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor
cu caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare, prelucrează date cu caracter personal în exercitarea
atribuţiilor legale.
(3)Prezenta lege nu se aplică prelucrărilor şi transferului de date cu caracter
personal efectuate în îndeplinirea atribuţiilor legale de structurile/unităţile M.A.I.
în domeniul apărării naţionale şi securităţii naţionale, în limitele şi cu restricţiile
stabilite de lege.
Art. 2
În înţelesul prezentei legi, termenii şi expresiile de mai jos au următoarea
semnificaţie:
a)interconectare – operaţiunea de a pune în legătură datele cu caracter personal
cuprinse într-un fişier, bază de date sau sistem de evidenţă automat cu cele
cuprinse într-unui sau mai multe fişiere, baze de date sau sisteme de evidenţă
automate care sunt gestionate de operatori diferiţi sau de către acelaşi operator,
dar având scopuri diferite, similare sau corelate, după caz;
b)semnalare – setul de date introduse într-un sistem de evidenţă a datelor cu
caracter personal referitoare la persoane sau bunuri cu privire la care au fost
dispuse unele măsuri, în condiţiile legii, în vederea realizării unui interes public, a
respectării regimului liberei circulaţii a persoanelor şi bunurilor sau a asigurării ori
menţinerii ordinii şi siguranţei publice;
c)blocare – marcarea unor date cu caracter personal stocate, în scopul limitării
prelucrării pe viitor;
d)atribuirea de referinţe – marcarea unor date cu caracter personal stocate, fără
a avea ca scop limitarea prelucrării lor ulterioare;
e)transformarea în date anonime – modificarea datelor cu caracter personal,
astfel încât detaliile privind circumstanţele personale sau materiale să nu mai
permită atribuirea acestora unei persoane fizice identificate sau identificabile sau
atribuirea să fie posibilă doar în condiţiile unei investiţii disproporţionate de timp,
costuri şi forţă de muncă;
f)consimţământul persoanei vizate – orice manifestare de voinţă, liberă, specifică
şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu
caracter personal care o privesc;
g)evidenţă pasivă – fişier sau bază de date cu caracter personal constituit în
scopul accesării limitate şi ulterior ştergerii datelor stocate din sistemul de
evidenţă.
Art. 3
(1)Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile
M.A.I. constituie, organizează şi deţin, potrivit atribuţiilor legale, sisteme de
evidenţă şi utilizează mijloace automate şi neautomate de prelucrare a datelor cu
caracter personal, în condiţiile legii.
(2)Structurile/Unităţile M.A.I. utilizează sisteme de evidenţă şi/sau mijloace
automate şi neautomate de prelucrare a datelor cu caracter personal, cu
respectarea drepturilor omului şi aplicarea principiilor legalităţii, necesităţii,
confidenţialităţii, proporţionalităţii şi numai dacă, prin utilizarea acestora, este
asigurată protecţia datelor prelucrate.
(3)Înaintea introducerii unui sistem de evidenţă sau a unui mijloc
automat/neautomat de prelucrare a datelor cu caracter personal care este
susceptibil să prezinte anumite riscuri privind datele prelucrate,
structurile/unităţile M.A.I. consultă Autoritatea Naţională de Supraveghere a
Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea
naţională de supraveghere, care, dacă este cazul, stabileşte garanţii adecvate,
potrivit legii.
CAPITOLUL II: Notificarea prelucrărilor datelor cu caracter personal
Art. 4
(1)Prelucrările de date cu caracter personal sunt notificate Autorităţii naţionale
de supraveghere. Notificarea se efectuează anterior oricărei prelucrări, în
condiţiile legii.
(2)Notificarea prelucrării automate sau neautomate a datelor cu caracter
personal prin sisteme de evidenţă a datelor cu caracter personal, realizată
potrivit legii de către structurile/unităţile M.A.I., cuprinde, pe lângă informaţiile
prevăzute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificările şi
completările ulterioare, în mod corespunzător şi informaţii referitoare la natura
fiecărui sistem de evidenţă a datelor cu caracter personal care are legătură cu
prelucrarea, precum şi la destinatarii cărora le sunt comunicate datele.
(3)Notificarea prelucrării datelor cu caracter personal prin sisteme de evidenţă
constituite în anumite cazuri numai pentru perioada necesară realizării unor
activităţi de prevenire, cercetare şi combatere a infracţiunilor, precum şi de
menţinere şi asigurare a ordinii publice se face cu respectarea condiţiilor
prevăzute la alin. (2), numai dacă prelucrarea nu a făcut obiectul unei notificări
anterioare.
CAPITOLUL III: Colectarea datelor cu caracter personal
Art. 5
(1)Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile
M.A.I. colectează date cu caracter personal, cu sau fără consimţământul
persoanei vizate, în condiţiile legii.
(2)Colectarea datelor cu caracter personal fără consimţământul persoanei vizate
pentru realizarea activităţilor prevăzute la art. 1 alin. (1) se face numai dacă
această măsură este necesară pentru prevenirea unui pericol iminent cel puţin
asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii
acesteia, precum şi pentru combaterea unei anumite infracţiuni.
(3)Colectarea datelor cu caracter personal pentru realizarea activităţilor
prevăzute la art. 1 alin. (1) se efectuează de personalul structurilor/unităţilor
M.A.I. numai în scopul îndeplinirii atribuţiilor de serviciu.
(4)Colectarea datelor cu caracter personal în scopurile prevăzute la art. 1 alin.
(1) trebuie să fie limitată la datele necesare pentru prevenirea unui pericol
iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane
ori a proprietăţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.
(5)Colectarea de date privind persoana fizică exclusiv datorită faptului că aceasta
are o anumită origine rasială, anumite convingeri religioase ori politice, un
anumit comportament sexual sau datorită apartenenţei acesteia la anumite
mişcări ori organizaţii care nu contravin legii este interzisă.
(6)Prin excepţie de la prevederile alin. (5), structurile/unităţile M.A.I. colectează
şi prelucrează, cu respectarea garanţiilor prevăzute de Legea nr. 677/2001, cu
modificările şi completările ulterioare, date exclusiv în baza acestor criterii numai
dacă, într-un caz determinat, sunt necesare pentru efectuarea actelor
premergătoare sau a urmăririi penale, ca urmare a săvârşirii unei infracţiuni.
Prevederile art. 4 se aplică în mod corespunzător.
(7)Prevederile alin. (6) nu aduc atingere dispoziţiilor legale care reglementează
obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi
privată.
CAPITOLUL IV: Stocarea datelor cu caracter personal
Art. 6
(1)Pentru realizarea scopurilor activităţilor prevăzute la art. 1 alin. (1),
structurile/unităţile M.A.I. stochează numai acele date cu caracter personal care
sunt exacte, complete şi necesare îndeplinirii atribuţiilor legale sau obligaţiilor
rezultate din instrumente juridice internaţionale la care România este parte.
(2)Stocarea diferitelor categorii de date cu caracter personal se realizează prin
ordonarea acestora în funcţie de gradul lor de acurateţe şi exactitate. Datele cu
caracter personal bazate pe opinii şi interpretări personale rezultate din
activităţile prevăzute la art. 1 alin. (1) sunt ordonate în mod distinct.
(3)Structurile/Unităţile M.A.I. au obligaţia de a verifica periodic calitatea datelor
prevăzute la alin. (2), conform regulilor stabilite potrivit art. 31 alin. (1) lit. b).
(4)În situaţia în care datele cu caracter personal stocate se dovedesc a fi
inexacte sau incomplete, structurile/unităţile M.A.I. care le deţin au obligaţia să
le şteargă, distrugă, modifice, actualizeze sau, după caz, să le completeze.
(5)Structurile/Unităţile M.A.I. stochează datele cu caracter personal colectate în
scopuri administrative separat de datele cu caracter personal colectate în
scopurile prevăzute la art. 1 alin. (1).
Art. 7
(1)Datele cu caracter personal se blochează atunci când există motive întemeiate
să se considere că ştergerea lor ar putea afecta drepturile, libertăţile şi interesele
legitime ale persoanei vizate.
(2)Datele blocate se prelucrează doar în scopul care a împiedicat ştergerea lor.
(3)Datele blocate se şterg de îndată ce nu mai sunt necesare scopului prevăzut
la alin. (2).
Art. 8
Structurile/Unităţile M.A.I. prelucrează suplimentar date cu caracter personal,
într-un alt scop decât cel pentru care datele au fost colectate, dacă sunt
îndeplinite următoarele condiţii:
a)prelucrarea este compatibilă cu scopul în care au fost colectate datele;
b)scopul în care urmează a fi prelucrate suplimentar datele cu caracter personal
de către structurile/unităţile M.A.I. sau entităţile cărora urmează să le fie
comunicate datele se încadrează în atribuţiile sau, după caz, obligaţiile ce le revin
potrivit legii;
c)prelucrarea este necesară şi proporţională în raport cu noul scop.
CAPITOLUL V: Comunicarea datelor cu caracter personal
Art. 9
(1)Comunicarea datelor cu caracter personal între structurile/unităţile M.A.I. se
face numai în cazul în care este necesară pentru exercitarea competenţelor şi
îndeplinirea atribuţiilor legale ce le revin.
(2)Comunicarea de date cu caracter personal către alte autorităţi sau instituţii
publice se poate efectua numai în următoarele situaţii:
a)în baza unei prevederi legale exprese ori cu autorizarea Autorităţii naţionale de
supraveghere;
b)când datele sunt indispensabile îndeplinirii atribuţiilor legale ale destinatarului
şi numai dacă scopul în care se face colectarea sau prelucrarea de către
destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de
structurile/unităţile M.A.I., iar comunicarea datelor de structurile/unităţile M.A.I.
se realizează în conformitate cu atribuţiile legale ale acestora.
(3)Prin excepţie de la prevederile alin. (2), comunicarea datelor cu caracter
personal către alte autorităţi sau instituţii publice este permisă în următoarele
situaţii:
a)persoana vizată şi-a exprimat consimţământul expres şi neechivoc pentru
comunicarea datelor sale;
b)comunicarea este necesară pentru a preveni un pericol grav şi iminent cel
puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a
proprietăţii acesteia.
(4)Comunicarea datelor cu caracter personal către entităţi de drept privat care îşi
desfăşoară activitatea pe teritoriul României se efectuează numai dacă există o
obligaţie legală expresă sau cu autorizarea Autorităţii naţionale de supraveghere.
(5)Prin excepţie de la prevederile alin. (4), comunicarea datelor cu caracter
personal către entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul
României sau în afara acestuia este permisă dacă persoana vizată şi-a dat
consimţământul în mod expres şi neechivoc pentru comunicarea datelor sale sau
dacă este necesară pentru a preveni un pericol grav şi iminent cel puţin asupra
vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia sau a unei alte persoane ameninţate.
Art. 10
(1)Datele cu caracter personal deţinute de structurile/unităţile M.A.I. potrivit
scopurilor prevăzute la art. 1 alin. (1) pot fi transferate următorilor destinatari:
a)autorităţilor poliţieneşti, judiciare sau altor autorităţi competente din statele
membre ori organismelor sau instituţiilor Uniunii Europene cu atribuţii în
domeniul cooperării poliţieneşti ori judiciare în materie penală;
b)Organizaţiei Internaţionale a Poliţiei Criminale – Interpol sau altor instituţii
internaţionale similare;
c)organismelor de poliţie din state terţe.
(2)Transferul datelor cu caracter personal prevăzut la alin. (1) se realizează în
una dintre următoarele situaţii:
a)există o prevedere legală expresă în legislaţia naţională sau într-un tratat
ratificat de România;
b)există prevederi legale care reglementează cooperarea poliţienească sau
cooperarea judiciară internaţională în materie penală;
c)când transferul este necesar pentru prevenirea unui pericol grav şi iminent
asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii
acesteia, precum şi pentru combaterea unei infracţiuni grave prevăzute de lege,
cu respectarea legii române.
Art. 11
(1)Cererile pentru comunicarea datelor cu caracter personal adresate
structurilor/unităţilor M.A.I. de către alte structuri/unităţi ale M.A.I., alte
autorităţi sau instituţii publice, entităţi de drept privat care îşi desfăşoară
activitatea pe teritoriul României sau în afara acestuia şi organisme de poliţie ale
altor state trebuie să conţină datele de identificare a solicitantului, precum şi
motivarea şi scopul cererii, conform prevederilor legale interne sau celor cuprinse
în acordurile internaţionale la care România este parte. Cererile care nu conţin
aceste date şi nu sunt conforme prevederilor legale interne sau celor cuprinse în
acordurile internaţionale la care România este parte se resping.
(2)Înainte de comunicare, structurile/unităţile M.A.I. verifică dacă datele
solicitate sunt exacte, complete şi actualizate. În cazul în care se constată că nu
sunt corecte, complete sau actualizate, datele nu se comunică. În comunicări
trebuie indicate, după caz, datele care rezultă din hotărâri ale instanţelor
judecătoreşti ori din actele prin care s-a dispus neînceperea urmăririi penale,
clasarea, scoaterea de sub urmărire penală, încetarea urmăririi penale sau
trimiterea în judecată, precum şi datele bazate pe opinii şi interpretări personale
rezultate din activităţile prevăzute la art. 1 alin. (1). Datele bazate pe opinii şi
interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1) trebuie
verificate la sursă înainte de a fi comunicate, iar gradul de acurateţe şi exactitate
al acestor date trebuie întotdeauna menţionat cu ocazia comunicării.
(3)În situaţia în care au fost transmise date incorecte sau neactualizate,
structurile/unităţile M.A.I. au obligaţia să îi informeze pe destinatarii respectivelor
date asupra neconformităţii acestora, cu menţionarea datelor care au fost
modificate sau, dacă este cazul, cu precizarea că datele transmise trebuie
rectificate, şterse ori blocate.
(4)În situaţia în care se constată că au fost transmise date cu caracter personal
în mod ilegal, structurile/unităţile M.A.I. au obligaţia de a-i informa pe destinatarii
acestor date, cu precizarea că datele transmise trebuie şterse de îndată.
(5)În situaţia în care se constată că structurilor/unităţilor M.A.I. le-au fost
transmise date cu caracter personal incorecte sau neactualizate, datele se
rectifică, se şterg sau, după caz, se blochează, în condiţiile legii. Dacă
structurilor/unităţilor M.A.I. le sunt transmise în mod eronat sau ilegal astfel de
date, acestea se şterg sau, după caz, se blochează de îndată. Entitatea care a
transmis datele este informată cu privire la măsura adoptată şi motivul adoptării
acesteia.
(6)În cazul în care structurilor/unităţilor M.A.I. le sunt transmise, potrivit legii,
date cu caracter personal nesolicitate, acestea au obligaţia de a verifica dacă
datele sunt necesare în scopul pentru care au fost transmise. Datele care nu sunt
necesare scopului se şterg sau, după caz, se blochează de îndată. Entitatea care
a transmis datele este informată cu privire la măsura adoptată şi motivul
adoptării acesteia.
Art. 12
(1)La comunicarea datelor cu caracter personal către alte autorităţi sau instituţii
publice, entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul
României sau în afara acestuia, ori către destinatarii prevăzuţi la art. 10 alin. (1),
structurile/unităţile M.A.I. atenţionează destinatarii asupra interdicţiei de a
prelucra datele comunicate în alte scopuri decât cele specificate în cererea de
comunicare.
(2)La comunicarea datelor cu caracter personal potrivit alin. (1) i se indică
destinatarului limitări ale prelucrării, dacă este cazul, şi termene de păstrare
adecvate şi se precizează obligaţia de a şterge datele cu caracter personal
transmise la expirarea termenului indicat sau, dacă este cazul, de a proceda la
blocarea acestora. Termenele de păstrare comunicate nu pot depăşi termenele
stabilite prin prevederi legale ori, după caz, cele stabilite de structurile/unităţile
M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 31, pentru acele categorii de
date cu caracter personal pe care le deţin şi urmează să facă obiectul
comunicării.
(3)În cazul în care se comunică date cu caracter personal destinatarilor prevăzuţi
la art. 10 alin. (1) lit. a), pot fi comunicate limitări ale prelucrării doar dacă
acestea sunt stabilite de lege, iar termenele de păstrare sunt cele stabilite prin
prevederi legale ori, după caz, de structurile/unităţile M.A.I. prin reguli proprii,
potrivit dispoziţiilor art. 31.
(4)Prelucrarea datelor de către destinatari în alte scopuri decât cele care au
format obiectul cererii se poate realiza numai cu acordul structurilor/unităţilor
M.A.I. care le-au comunicat şi numai cu respectarea prevederilor art. 9 alin. (2)-
(5) şi ale art. 10.
(5)Structurile/Unităţile M.A.I. pot solicita destinatarilor prevăzuţi la alin. (1),
cărora le-au fost comunicate date cu caracter personal, informaţii cu privire la
modul în care acestea au fost prelucrate.
Art. 13
(1)Pentru datele cu caracter personal comunicate de către alte autorităţi
competente sau entităţi de drept privat din afara teritoriului României, în cazul în
care este precizat un termen de păstrare a datelor, structurile/unităţile M.A.I. au
obligaţia de a şterge ori, după caz, de a bloca datele la expirarea termenului de
păstrare a datelor indicat. În cazul în care nu este precizat un termen de păstrare
a datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal,
stabilite pentru acele categorii de date de către structurile/unităţile M.A.I.,
potrivit dispoziţiilor art. 31.
(2)În cazul datelor cu caracter personal prevăzute la alin. (1), structurile/unităţile
M.A.I. au obligaţia de a verifica periodic, o dată la 3 ani, necesitatea stocării
acestora.
(3)Datele cu caracter personal a căror stocare nu mai este necesară se şterg sau,
după caz, se blochează, chiar dacă nu s-a împlinit termenul precizat de entitatea
care le-a transmis Ori cel prevăzut de regulile stabilite potrivit dispoziţiilor art. 31.
(4)Dispoziţiile alin. (1) nu se aplică dacă la momentul expirării termenului de
păstrare a datelor, indicat de autoritatea competentă sau entitatea de drept
privat din afara teritoriului României, datele cu caracter personal sunt în
continuare necesare pentru efectuarea de acte premergătoare în vederea
începerii urmăririi penale, pentru desfăşurarea urmăririi penale sau pentru
executarea unei pedepse.
Art. 14
Datele cu caracter personal comunicate de către autorităţile competente ale unui
stat membru al Uniunii Europene, denumit în continuare stat membru, pot fi
prelucrate suplimentar de către structurile/unităţile M.A.I., în alt scop decât cel
pentru care au fost transmise, în una dintre următoarele situaţii:
a)pentru prevenirea, constatarea, cercetarea sau urmărirea penală a
infracţiunilor ori executarea pedepselor, altele decât cele pentru care au fost
comunicate;
b)pentru derularea altor proceduri judiciare sau administrative direct legate de
prevenirea, constatarea, cercetarea ori urmărirea penală a infracţiunilor ori
executarea pedepselor;
c)pentru prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei
publice;
d)în orice alt scop, cu consimţământul prealabil al statului membru care
transmite sau cu consimţământul persoanei vizate, potrivit legii.
Art. 15
(1)Datele cu caracter personal comunicate de către autorităţile competente ale
unui alt stat membru pot fi transferate de structurile/unităţile M.A.I. către
autorităţi competente dintr-un stat care nu este membru al Uniunii Europene,
denumit în continuare stat terţ, sau către organisme internaţionale, numai dacă
sunt îndeplinite, cumulativ, următoarele condiţii:
a)se impune pentru prevenirea, constatarea, cercetarea sau urmărirea penală a
infracţiunilor ori executarea pedepselor;
b)datele cu caracter personal sunt comunicate organismului internaţional ori
autorităţii statului terţ competente în prevenirea, constatarea, cercetarea sau
urmărirea penală a infracţiunilor sau pentru executarea pedepselor;
c)există acordul statului membru care a comunicat datele pentru transfer;
d)statul terţ sau organismul internaţional în cauză asigură un nivel corespunzător
de protecţie pentru prelucrarea de date urmărită.
(2)Datele cu caracter personal pot fi comunicate în condiţiile prevăzute la alin.
(1), fără acordul statului membru, numai dacă transferul de date este strict
necesar pentru prevenirea unui pericol grav şi iminent la adresa ordinii şi
siguranţei publice a unui stat membru ori a unui stat terţ sau a intereselor
fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obţinut în
timp util.
(3)În situaţia prevăzută la alin. (2), unitatea/structura M.A.I. care efectuează
comunicarea de date cu caracter personal are obligaţia de a informa de îndată
autoritatea competentă din statul membru care a furnizat datele.
(4)Prin excepţie de la prevederile alin. (1) lit. d), datele cu caracter personal pot
fi comunicate către autorităţile competente dintr-un stat terţ sau către
organismele internaţionale, cu respectarea dispoziţiilor art. 30 lit. d) ori e) din
Legea nr. 677/2001, cu modificările şi completările ulterioare.
Art. 16
(1)Datele cu caracter personal comunicate de către autorităţile competente ale
unui alt stat membru pot fi transferate către entităţi de drept privat dintr-un stat
membru, altul decât cel care a furnizat datele, numai dacă sunt îndeplinite,
cumulativ, următoarele condiţii:
a)autoritatea competentă din statul membru care a comunicat datele şi-a dat
acordul pentru efectuarea prelucrării;
b)niciun interes specific legitim al persoanei vizate nu împiedica transmiterea;
c)în situaţii specifice, comunicarea este esenţială pentru autoritatea competentă
care transmite date unei entităţi private.
(2)Cazurile specifice pentru care se consideră îndeplinită condiţia prevăzută la
alin. (1) lit. c) sunt determinate de următoarele situaţii:
a)îndeplinirea unei obligaţii prevăzute de lege în sarcina entităţii private;
b)prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor ori
executarea pedepselor;
c)prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei publice;
d)prevenirea unei vătămări grave a drepturilor persoanei.
(3)Structurile/Unităţile M.A.I. au obligaţia de a informa entităţile de drept privat
cărora le sunt comunicate datele potrivit alin. (1) cu privire la scopurile pentru
care, în mod exclusiv, pot fi utilizate datele cu caracter personal comunicate.
Art. 17
La cerere, structurile/unităţile M.A.I. informează autorităţile competente ale unui
alt stat membru care au transmis date cu caracter personal cu privire la modul în
care acestea au fost prelucrate, în termen de 15 zile de la înregistrarea solicitării.
Art. 18
(1)Pentru realizarea activităţilor de cercetare şi combatere a infracţiunilor,
structurile/unităţile M.A.I. pot interconecta sistemele de evidenţă a datelor cu
caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu
caracter personal pe care le deţin pentru scopuri diferite.
(2)În scopul prevăzut la alin. (1), interconectarea sistemelor de evidenţă a
datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor
cu caracter personal, constituite potrivit art. 3, se poate realiza şi cu sistemele de
evidenţă ori cu mijloacele automate de prelucrare a datelor cu caracter personal
deţinute de alţi operatori, autorităţi şi instituţii publice naţionale.
(3)Interconectările prevăzute la alin. (1) şi (2) sunt posibile numai cu acordul
prealabil al Autorităţii naţionale de supraveghere. În cazul obţinerii acordului
prealabil, structura/unitatea M.A.I. notifică prelucrarea Autorităţii naţionale de
supraveghere, în condiţiile prevăzute la art. 4.
(4)În scopul prevăzut la alin. (1), interconectarea sistemelor de evidenţă a
datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor
cu caracter personal, constituite potrivit art. 3, se poate realiza şi cu sistemele de
evidenţă sau cu mijloacele automate de prelucrare a datelor cu caracter personal
deţinute de alţi operatori, entităţi de drept privat.
(5)Interconectările prevăzute la alin. (4) sunt permise numai în cazul efectuării
actelor premergătoare, al urmăririi penale sau al judecării unei infracţiuni în baza
unei autorizări emise de procurorul competent să efectueze ori să supravegheze,
într-un caz determinat, efectuarea actelor premergătoare sau urmărirea penală
ori, în căzui judecării unei infracţiuni, de judecătorul anume desemnat de la
instanţa căreia îi revine competenţa de a judeca fondul cauzei pentru care sunt
prelucrate datele respective.
(6)Accesul direct sau printr-un serviciu de comunicaţii electronice la un sistem de
evidenţă a datelor cu caracter personal care face obiectul interconectării, potrivit
alin. (1), este permis numai în condiţiile legii şi cu respectarea prevederilor art. 1
alin. (1) şi ale art. 6-24.
Art. 19
(1)În cazul activităţilor de prevenire a infracţiunilor, de menţinere şi de asigurare
a ordinii publice, sistemele de evidenţă a datelor cu caracter personal sau
mijloacele automate de prelucrare a datelor cu caracter personal, constituite
potrivit art. 3, pot fi interconectate cu:
a)Registrul naţional de evidenţă a persoanelor;
b)Registrul naţional de evidenţă a paşapoartelor simple;
c)Registrul naţional de evidenţă a permiselor de conducere şi a vehiculelor
înmatriculate,
(2)În cazul activităţilor prevăzute la alin. (1), structurile/ unităţile M.A.I. pot
interconecta sistemele de evidenţă a datelor cu caracter personal sau, după caz,
mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin
pentru scopuri similare ori corelate.
(3)Interconectările prevăzute la alin. (1) şi (2) se notifică Autorităţii naţionale de
supraveghere prin modificarea/ completarea notificării sau depunerea unei noi
notificări.
(4)În cazul activităţilor prevăzute la alin. (1), structurile/ unităţile M.A.I. pot
interconecta sistemele de evidenţă a datelor cu caracter personal sau, după caz,
mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin
pentru scopuri diferite, numai cu acordul prealabil al Autorităţii naţionale de
supraveghere. În cazul obţinerii acordului, structurile/unităţile M.A.I. notifică
prelucrarea datelor Autorităţii naţionale de supraveghere prin
modificarea/completarea notificării sau depunerea unei noi notificări.
(5)Dispoziţiile alin. (1)-(4) sunt aplicabile şi în cazul activităţilor de control la
frontieră, executate, în condiţiile legii, de structura specializată a M.A.I, care
impun interconectarea sistemelor de evidenţă a datelor cu caracter personal sau
a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite
potrivit dispoziţiilor art. 3.
Art. 20
(1)Structurile/Unităţile M.A.I. pot configura sistemele de evidenţă a datelor cu
caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu
caracter personal pe care le deţin pentru scopuri corelate sau diferite, astfel încât
semnalările cu privire la persoane sau bunuri să fie accesibile în orice sistem ori
mijloc de prelucrare.
(2)Sistemele de evidenţă a datelor cu caracter personal sau, după caz, mijloacele
automate de prelucrare a datelor cu caracter personal deţinute de
structurile/unităţile M.A.I. se configurează astfel încât niciun utilizator să nu aibă
acces decât la datele cu caracter personal strict necesare desfăşurării atribuţiilor
de serviciu. Structurile/Unităţile M.A.I. au obligaţia de a stabili categoriile de date
la care are acces fiecare utilizator, în scopul îndeplinirii atribuţiilor de serviciu.
Art. 21
(1)În cazul sistemelor de evidenţă constituite potrivit scopurilor prevăzute la art.
1 alin. (1), structurile/unităţile M.A.I. pot permite autorităţilor, instituţiilor sau
organizaţiilor prevăzute la art. 10 accesul direct la sistemele gestionate, doar în
condiţii care să asigure securitatea datelor cu caracter personal, în următoarele
situaţii:
a)în baza unui tratat ratificat de România;
b)în cadrul activităţii de cooperare poliţienească şi judiciară în materie penală
efectuată în cadrul Uniunii Europene.
(2)Prelucrările efectuate potrivit alin. (1) se notifică Autorităţii naţionale de
supraveghere în condiţiile art. 4.
(3)În situaţia prevăzută la alin. (1), prelucrarea datelor cu caracter personal de
către autorităţile, instituţiile sau organizaţiile prevăzute la art. 10 se permite doar
pentru scopul stabilit prin tratat ori, după caz, printr-un instrument juridic al
Uniunii Europene.
Art. 22
(1)În situaţiile prevăzute la art. 18 alin. (1), structurile/unităţile M.A.I., dispun
măsurile necesare pentru ca toate prelucrările de date cu caracter personal să fie
înregistrate în sistem într-un fişier de acces, în scopul monitorizării legalităţii
efectuării prelucrărilor.
(2)Sistemele de evidenţă sau mijloacele automate de prelucrare a datelor cu
caracter personal gestionate de către Structurile/unităţile M.A.I. trebuie să fie
configurate astfel încât să genereze fişierele de acces şi în situaţia în care
structurilor/unităţilor M.A.I. li se permite accesul direct în sistemele de evidenţă
gestionate de autorităţile, instituţiile sau organizaţiile prevăzute la art. 10.
(3)Fişierele de acces trebuie să cuprindă cel puţin data, ora exactă, motivul
prelucrării, datele de identificare a autorităţii, instituţiei sau, după caz, a
organizaţiei care a efectuat prelucrarea, precum şi codul de identificare a
utilizatorului care a efectuat prelucrarea. Dacă este cazul, fişierele de acces pot
conţine şi datele cu caracter personal care au făcut obiectul prelucrării.
(4)Fişierele de acces pot fi utilizate doar în scopul verificării legalităţii prelucrării
sau pentru asigurarea securităţii datelor cu caracter personal.
Art. 23
La cerere, structurile/unităţile M.A.I. comunică, în termen de 15 zile, autorităţilor
competente în domeniul protecţiei datelor cu caracter personal din afara
teritoriului României, înregistrările referitoare la prelucrările efectuate în
sistemele de evidenţă gestionate de entităţile din statul a cărui autoritate a
formulat cererea.
CAPITOLUL VI: Drepturile persoanei vizate
Art. 24
(1)Structurile/Unităţile M.A.I. asigură condiţiile de exercitare a drepturilor
conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu
modificările şi completările ulterioare, şi a prezentei legi.
(2)Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevăzute
de Legea nr. 677/2001, cu modificările şi completările ulterioare, nu se aplică
pe perioada în care o asemenea măsură este necesară pentru evitarea
prejudicierii activităţilor specifice de prevenire, cercetare şi combatere a
infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, ca urmare a
cunoaşterii de persoana vizată a faptului că datele sale cu caracter personal sunt
prelucrate, sau este necesară pentru protejarea persoanei vizate ori a drepturilor
şi libertăţilor altor persoane, în cazul în care există date şi informaţii că aceste
drepturi şi libertăţi sunt puse în pericol.
(3)În cazul aplicării excepţiilor de la exercitarea drepturilor persoanei vizate,
prevăzute la alin. (2), acestea trebuie motivate în scris. Necomunicarea motivelor
este posibilă numai în măsura în care este necesară bunei desfăşurări a
activităţilor prevăzute la art. 1 alin. (1) sau pentru protejarea drepturilor şi
libertăţilor altor persoane decât persoana vizată.
(4)În toate situaţiile, persoana vizată va fi informată cu privire la dreptul de a se
adresa Autorităţii naţionale de supraveghere sau, după caz, instanţei de
judecată, care va decide dacă măsurile luate de structurile/unităţile M.A.I.,
conform prevederilor alin. (2), sunt întemeiate.
(5)În situaţia în care, în urma exercitării dreptului de acces sau a dreptului de
intervenţie, rezultă că datele cu caracter personal sunt inexacte, irelevante sau
înregistrate în mod abuziv, acestea vor fi şterse sau rectificate prin anexarea unui
document, încheiat în acest sens, la sistemul de evidenţă ale cărui date cu
caracter personal au suferit modificări, deţinut de structurile/unităţile M.A.I.
(6)Măsurile prevăzute la alin. (5) se aplică tuturor documentelor care au legătură
cu sistemul de evidenţă a datelor cu caracter personal. În cazul în care acestea
nu sunt efectuate imediat, se va avea în vedere realizarea lor cel mai târziu la
data prelucrării ulterioare a datelor cu caracter personal sau la o următoare
comunicare a acestora.
(7)În situaţia în care structurile/unităţile M.A.I. nu pot da curs cererilor formulate
în exercitarea dreptului de intervenţie în scopul rectificării, ştergerii ori, după caz,
blocării datelor cu caracter personal, transmit persoanei vizate un răspuns scris în
care sunt menţionate motivele care stau la baza imposibilităţii soluţionării
solicitării, precum şi faptul că aceasta are dreptul de a se adresa Autorităţii
naţionale de supraveghere sau, după caz, instanţei de judecată.
Art. 25
(1)În cazul în care structurile/unităţile M.A.I. formulează cereri pentru
comunicarea datelor cu caracter personal adresate unor autorităţi competente ori
entităţi de drept privat din afara teritoriului României, pot solicita ca persoana
vizată să nu fie informată cu privire la prelucrare numai dacă sunt aplicabile
dispoziţiile art. 24 alin. (2). La încetarea motivelor pentru care s-a formulat o
astfel de solicitare, structurile/unităţile M.A.I. informează în scris autoritatea
competentă ori entitatea de drept privat din afara teritoriului României cu privire
la faptul că persoana vizată, ale cărei date cu caracter personal au fost
comunicate, poate fi informată cu privire la această prelucrare.
(2)În cazul în care autorităţile competente ale unui stat membru solicită, cu
ocazia comunicărilor de date cu caracter personal de către structurile/unităţile
M.A.I., ca persoana vizată să nu fie informată, structurile/unităţile M.A.I. dispun
informarea persoanei vizate doar cu consimţământul autorităţii competente
solicitante.
Art. 26
În situaţia în care cererea persoanei vizate în contextul prelucrării datelor cu
caracter personal se referă la o prelucrare efectuată de către o autoritate
competentă ori entitate de drept privat din afara teritoriului României în
sistemele de evidenţă gestionate de structurile/unităţile M.A.I., prin derogare de
la prevederile art. 13 alin. (3), ale art. 14 alin. (3) şi ale art. 15 alin. (4) din
Legea nr. 677/2001, cu modificările şi completările ulterioare, i se răspunde
solicitantului cât mai curând posibil, dar nu mai târziu de 60 de zile de la data
primirii cererii. În acest termen, structurile/unităţile M.A.I. solicită informaţii
autorităţii competente ori entităţii de drept privat din afara teritoriului României
care a efectuat prelucrarea.
Art. 27
(1)În cazul în care exactitatea unor date cu caracter personal este contestată de
persoana vizată, iar exactitatea sau inexactitatea datelor respective nu se poate
stabili cu certitudine, acestora li se pot atribui referinţe. La cererea persoanei
vizate, atribuirea de referinţe este obligatorie.
(2)Datele cu caracter personal cărora le-au fost atribuite referinţe nu pot fi
comunicate decât în scopul stabilirii corectitudinii acestora.
(3)Referinţele atribuite potrivit alin. (1) pot fi înlăturate în unul dintre
următoarele cazuri:
a)la solicitarea ori cu acordul persoanei vizate, atunci când exactitatea sau, după
caz, inexactitatea datelor cu caracter personal a fost stabilită;
b)atunci când există o hotărâre a instanţei de judecată sau autorizarea Autorităţii
naţionale de supraveghere.
Art. 28
(1)Structurile/Unităţile M.A.I., în calitate de operatori, răspund pentru prejudiciul
cauzat persoanei vizate în urma unei prelucrări de date cu caracter personal,
chiar şi în situaţia în care prejudiciul a fost cauzat prin prelucrarea, în condiţiile
legii, a unor date cu caracter personal inexacte furnizate de o autoritate
competentă a unui stat membru.
(2)În situaţia în care structurile/unităţile M.A.I. sunt obligate, în condiţiile legii, la
plata unor despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a
prelucrării unor date cu caracter personal inexacte furnizate de o autoritate
competentă a unui stat membru, acestea sunt obligate să dispună măsurile
necesare pentru recuperarea sumelor plătite ca despăgubire de la autoritatea
care a furnizat datele respective.
(3)Pentru a se asigura îndeplinirea obligaţiei prevăzute la alin. (2),
structurile/unităţile M.A.I., care au plătit despăgubiri pentru prejudiciile cauzate
persoanei vizate ca urmare a prelucrării unor date cu caracter personal inexacte,
informează autoritatea competentă din statul membru care a furnizat aceste date
şi solicită rambursarea sumei plătite ca despăgubire. Cu această ocazie,
structurile/unităţile M.A.I. comunică faptul că prejudiciul a fost cauzat exclusiv ca
urmare a prelucrării, în condiţiile legii, a datelor inexacte furnizate de autoritatea
competentă din statul membru, şi nu din culpa structurii/unităţii M.A.I. care a
primit datele cu caracter personal şi anexează documente din care să rezulte:
a)că structura/unitatea M.A.I. a fost obligată la plata despăgubirii pentru
prejudiciile cauzate persoanei vizate şi că a plătit o sumă de bani;
b)că datele cu caracter personal ale persoanei vizate provin de la această
autoritate competentă din statul membru;
c)datele de identificare a contului în care urmează a fi virate sumele de bani.
(4)În situaţia în care structurilor/unităţilor M.A.I. li se solicită de către autorităţi
competente din statele membre rambursarea unor sume plătite de acestea ca
despăgubiri pentru prejudicii cauzate persoanelor vizate ca urmare a prelucrării
unor date cu caracter personal inexacte furnizate de structurile/unităţile M.A.I.,
înainte de plata sumelor solicitate, structurile/unităţile M.A.I. trebuie să verifice
dacă:
a)prejudiciul a fost cauzat exclusiv ca urmare a prelucrării datelor inexacte
furnizate în condiţiile indicate de structura/unitatea M.A.I., şi nu din culpa
autorităţii competente solicitante;
b)solicitarea este însoţită de documente din care să rezulte că autoritatea
competentă din statul membru a fost obligată la plata despăgubirii pentru
prejudiciile cauzate persoanei vizate ca urmare a furnizării de către
structurile/unităţile M.A.I. a unor informaţii inexacte şi că a plătit o sumă de bani.
CAPITOLUL VII: Încheierea operaţiunilor de prelucrare a datelor cu caracter personal
Art. 29
(1)Datele cu caracter personal stocate în îndeplinirea activităţilor prevăzute la
art. 1 alin. (1) se şterg sau se transformă în date anonime atunci când nu mai
sunt necesare scopurilor pentru care au fost colectate ori, după caz, se
blochează, în condiţiile legii. În situaţii justificate, datele pot fi trecute în evidenţă
pasivă şi stocate, pentru o perioadă care nu poate fi mai mare decât termenul de
stocare stabilit iniţial potrivit scopului în care au fost colectate.
(2)Înainte de ştergerea datelor cu caracter personal, potrivit alin. (1), şi dacă
activităţile prevăzute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoaşterea
faptului că datele cu caracter personal au fost colectate şi stocate, persoana
vizată trebuie informată atunci când colectarea şi stocarea datelor s-au efectuat
fără consimţământul său.
(3)În condiţiile prevăzute la alin. (2), informarea persoanei vizate se realizează
de structurile/unităţile M.A.I. care au colectat şi stocat datele cu caracter
personal ale acesteia, în termen de 15 zile de la momentul în care activităţile
prevăzute la art. 1 alin (1) nu mai pot fi prejudiciate sau, după caz, de la
momentul comunicării către aceste structuri/unităţi ale M.A.I. a unei soluţii de
neîncepere a urmăririi penale, clasare, scoatere de sub urmărire penală sau
încetare a urmăririi penale.
(4)Prin excepţie de la prevederile alin. (1), datele cu caracter personal pot fi
stocate şi după îndeplinirea scopurilor pentru care au fost colectate, dacă este
necesară păstrarea acestora. Evaluarea necesităţii stocării datelor după
îndeplinirea scopurilor pentru care au fost colectate se realizează, în special, în
următoarele situaţii:
a)datele sunt necesare în vederea terminării urmăririi penale într-un caz determinat;
b)nu există o hotărâre judecătorească definitivă;
c)nu a intervenit reabilitarea;
d)nu a intervenit prescripţia executării pedepsei;
e)nu a intervenit amnistia;
f)datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu
modificările şi completările ulterioare.
CAPITOLUL VIII: Securitatea datelor cu caracter personal
Art. 30
Structurile/Unităţile M.A.I. sunt obligate să ia toate măsurile necesare pentru a
asigura securitatea tehnică şi organizatorică adecvată a prelucrării datelor cu
caracter personal, astfel încât să prevină accesul, comunicarea sau distrugerea
neautorizată ori alterarea datelor. În acest scop, se au în vedere diferitele
caracteristici ale sistemelor de evidenţă a datelor cu caracter personal şi
conţinutul acestora.
CAPITOLUL IX: Dispoziţii finale
Art. 31
(1)Structurile/Unităţile M.A.I. care desfăşoară activităţile prevăzute la art. 1 alin.
(1) au obligaţia de a elabora reguli, dacă acestea nu sunt stabilite prin prevederi
legale exprese, cu privire la:
a)termenele de stocare a datelor cu caracter personal pe care le prelucrează;
b)verificările periodice asupra datelor cu caracter personal pentru ca acestea să
fie exacte, actuale şi complete;
c)ştergerea datelor cu caracter personal.
(2)În lipsa unor prevederi legale exprese care să stabilească regulile prevăzute la
alin. (1), structurile/unităţile M.A.I. care desfăşoară activităţile prevăzute la art. 1
alin. (1) au obligaţia ca, în termen de 30 de zile de la data intrării în vigoare a
prezentei legi, să stabilească aceste reguli, cu avizul Autorităţii naţionale de
supraveghere acordat în condiţiile legii.
Art. 32
Prevederile prezentei legi se completează cu dispoziţiile Legii nr. 677/2001, cu
modificările şi completările ulterioare.