Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:  INSTRUCŢIUNI nr. 112 din 30 iulie 2025 privind măsurile de natură organizatorică şi tehnică pentru asigurarea securităţii prelucrărilor de date cu caracter personal efectuate de către structurile/unităţile/instituţiile Ministerului Afacerilor Interne Twitter Facebook
Cautare document
Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X

 INSTRUCŢIUNI nr. 112 din 30 iulie 2025 privind măsurile de natură organizatorică şi tehnică pentru asigurarea securităţii prelucrărilor de date cu caracter personal efectuate de către structurile/unităţile/instituţiile Ministerului Afacerilor Interne

EMITENT: Ministerul Afacerilor Interne
PUBLICAT: Monitorul Oficial nr. 744 din 8 august 2025
Comenteaza legea
    Având în vedere prevederile Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), ale Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare, precum şi ale Legii nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date,
    în temeiul prevederilor art. 7 alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 30/2007 privind organizarea şi funcţionarea Ministerului Afacerilor Interne, aprobată cu modificări prin Legea nr. 15/2008, cu modificările şi completările ulterioare,
    viceprim-ministrul, ministrul afacerilor interne, emite următoarele instrucţiuni:
    TITLUL I
    Măsuri organizatorice
    CAP. I
    Dispoziţii generale
    ART. 1
    Prezentele instrucţiuni se aplică activităţilor de prelucrare a datelor cu caracter personal efectuate de Ministerul Afacerilor Interne, denumit în continuare MAI, unităţile, instituţiile şi structurile din subordinea/cadrul MAI, în calitatea acestora de operatori, operatori asociaţi sau persoane împuternicite de operatori.

    ART. 2
    (1) La nivelul MAI prelucrarea datelor cu caracter personal se realizează cu respectarea regulilor generale şi speciale prevăzute de:
    a) Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), denumit în continuare RGPD;
    b) Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare;
    c) Legea nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date;
    d) deciziile şi instrucţiunile cu caracter normativ emise de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP;
    e) prezentele instrucţiuni.

    (2) Operatorii, operatorii asociaţi şi persoanele împuternicite de operatori utilizează sisteme de evidenţă şi/sau mijloace automate şi manuale de prelucrare a datelor cu caracter personal, cu aplicarea principiilor respectării drepturilor omului, legalităţii, necesităţii, confidenţialităţii şi proporţionalităţii şi numai dacă, prin utilizarea acestora, este asigurată protecţia datelor prelucrate.
    (3) În cadrul activităţii de prelucrare a datelor cu caracter personal, operatorii, operatorii asociaţi şi persoanele împuternicite de operatori se supun activităţilor de control prealabil sau de investigare efectuate de ANSPDCP, potrivit legii, şi, la cerere, acordă acesteia sprijin deplin pentru exercitarea atribuţiilor sale.
    (4) Termenii şi expresiile utilizate în prezentele instrucţiuni au semnificaţiile prevăzute la art. 4 din RGPD, art. 2 din Legea nr. 190/2018, cu modificările ulterioare, respectiv la art. 4 din Legea nr. 363/2018.

    ART. 3
    (1) Au calitatea de operator unităţile, instituţiile şi structurile din subordinea/cadrul MAI, precum şi MAI, pentru prelucrările realizate la nivelul aparatului central, dacă stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal sau dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt stabilite printr-un act normativ sau în baza unui act normativ ori dacă sunt desemnate ca operator printr-un/în baza unui act normativ.
    (2) Au calitatea de operatori asociaţi doi sau mai mulţi operatori, cu condiţia ca cel puţin un operator să fie din cadrul MAI, care stabilesc în comun scopurile şi mijloacele de prelucrare.
    (3) Au calitatea de persoană împuternicită de operator unităţile, instituţiile şi structurile din subordinea/cadrul MAI care prelucrează date cu caracter personal în numele operatorului.
    (4) Are calitatea de utilizator al datelor cu caracter personal, denumit în continuare utilizator, personalul operatorului sau al persoanei împuternicite de operator ale cărui atribuţii de serviciu presupun operaţiuni de prelucrare a datelor cu caracter personal.

    CAP. II
    Organizarea activităţii de prelucrare a datelor cu caracter personal în MAI
    ART. 4
    (1) La nivelul fiecărui operator din cadrul MAI se desemnează un responsabil cu protecţia datelor personale prin act administrativ. La nivelul aparatului central al MAI, responsabil cu protecţia datelor personale este şeful Oficiului Responsabilului cu Protecţia Datelor Personale, denumit în continuare ORPDP, iar, în lipsa acestuia, lucrătorul din cadrul ORPDP, desemnat în acest sens.
    (2) Operatorul se asigură că responsabilul desemnat potrivit alin. (1) nu a fost sancţionat administrativ sau disciplinar şi/sau nu este cercetat referitor la încălcarea dispoziţiilor legale privind prelucrarea datelor cu caracter personal.
    (3) În funcţie de volumul datelor prelucrate, complexitatea operaţiunilor de prelucrare şi de numărul de utilizatori, operatorul poate înfiinţa o structură/un compartiment specializat(ă) în domeniul protecţiei datelor cu caracter personal care să sprijine responsabilul în îndeplinirea atribuţiilor legale.
    (4) Înfiinţarea structurii/compartimentului prevăzut(e) la alin. (3) se efectuează cu încadrarea în numărul total de posturi şi indicatori în finanţare aprobaţi de MAI.

    ART. 5
    (1) MAI şi unităţile, instituţiile şi structurile aflate în subordinea/în cadrul MAI, în calitate de operator, au în principal următoarele obligaţii:
    a) să asigure informarea persoanelor vizate şi să respecte drepturile acestora;
    b) să ia măsurile necesare pentru a asigura securitatea prelucrării datelor cu caracter personal;
    c) să întocmească o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea lor, conform art. 30 din RGPD sau, după caz, conform art. 27 din Legea nr. 363/2018;
    d) să elaboreze politici şi proceduri privind măsurile de protecţie a persoanelor cu privire la prelucrarea datelor cu caracter personal, denumite în continuare proceduri proprii, conform legislaţiei şi normelor interne în domeniul standardizării, în vigoare la nivelul MAI;
    e) să transmită ORPDP anual, până la 31 ianuarie, o analiză cu privire la activitatea desfăşurată în domeniul prelucrării datelor cu caracter personal pentru anul precedent, prin intermediul responsabilului/structurii/compartimentului specializat(e) în domeniul protecţiei datelor cu caracter personal;
    f) să pună la dispoziţia ORPDP, în condiţiile legii, şi, la solicitarea reprezentanţilor acestuia, prin intermediul responsabilului/structurii/compartimentului specializat(e) în domeniul protecţiei datelor cu caracter personal informaţiile şi documentele în legătură cu prelucrarea datelor cu caracter personal pe care le deţin, precum şi orice alte documente pe care le deţin pentru îndeplinirea atribuţiilor ce le revin în domeniul protecţiei datelor cu caracter personal, cu excepţia celor care conţin date cu caracter personal prelucrate în contextul unor activităţi din domeniul securităţii naţionale;
    g) să informeze ORPDP cu privire la situaţiile de încălcare a securităţii datelor cu caracter personal;
    h) să notifice ANSPDCP în cazul încălcării securităţii datelor cu caracter personal potrivit art. 33 din RGPD sau, după caz, potrivit art. 36 din Legea nr. 363/2018;
    i) să asigure informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal potrivit art. 34 din RGPD sau, după caz, potrivit art. 39 din Legea nr. 363/2018;
    j) să publice pe site-ul instituţiei şi la avizier datele de contact ale responsabilului cu protecţia datelor personale (nume, prenume, telefon de serviciu, adresă de e-mail şi fax), ghidul persoanei vizate şi formulare privind exercitarea drepturilor în acest domeniu;
    k) să identifice şi să evalueze riscurile inerente prelucrării datelor cu caracter personal şi să implementeze măsuri pentru atenuarea acestor riscuri;
    l) să informeze ANSPDCP cu privire la situaţia statistică a măsurilor de omisiune a furnizării de informaţii/limitare a dreptului de acces al persoanei vizate, adoptate în anul precedent, în conformitate cu art. 15 alin. (8) şi art. 17 alin. (6) din Legea nr. 363/2018;
    m) să respecte principiile de prelucrare a datelor cu caracter personal specificate la art. 5 din RGPD şi art. 5 din Legea nr. 363/2018;
    n) să constituie Registrul de evidenţă a cererilor persoanelor vizate pentru exercitarea drepturilor conferite de prevederile RGPD, precum şi de cele ale Legii nr. 363/2018, al cărui model este prevăzut în anexa nr. 1;
    o) să comunice datele de contact ale responsabilului cu protecţia datelor personale ANSPDCP, ORPDP şi structurii ierarhic superioare care îi monitorizează activitatea pe linie de protecţie a datelor.

    (2) Analiza prevăzută la alin. (1) lit. e) va cuprinde cel puţin următoarele:
    a) denumirea şi datele de contact ale structurii/unităţii/ instituţiei MAI;
    b) datele de contact ale responsabilului cu protecţia datelor personale şi data numirii în această funcţie, dacă la nivelul operatorului există o structură/un compartiment specializat/ specializată în domeniul protecţiei datelor cu caracter personal şi dacă responsabilul exercită alte sarcini şi atribuţii;
    c) o descriere a măsurilor tehnice şi organizatorice întreprinse;
    d) o scurtă descriere a procedurilor proprii prevăzute la alin. (1) lit. d);
    e) numărul cererilor de exercitare a drepturilor, defalcat pe fiecare drept în parte;
    f) încălcări ale securităţii datelor cu caracter personal şi măsurile întreprinse (notificarea ANSPDCP, informarea persoanei vizate, măsuri dispuse etc.), dacă au avut loc;
    g) controale şi investigaţii ale ANSPDCP, dacă au fost efectuate, şi măsurile dispuse cu această ocazie;
    h) un extras din planul de pregătire a personalului care să cuprindă temele de pregătire din domeniul protecţiei datelor cu caracter personal;
    i) probleme identificate în aplicarea legislaţiei din domeniul protecţiei datelor cu caracter personal;
    j) activităţi de automonitorizare a legalităţii prelucrărilor de date, dacă au fost realizate, iar dacă au fost constatate nereguli, menţionarea acestora şi a măsurilor dispuse;
    k) situaţia statistică a măsurilor de omisiune a furnizării de informaţii în conformitate cu art. 15 alin. (8) din Legea nr. 363/2018, precum şi a celor de limitare a dreptului de acces, în conformitate cu art. 17 alin. (6) din Legea nr. 363/2018.


    ART. 6
    (1) Conducerea operatorului are următoarele atribuţii principale:
    a) stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal atunci când acestea sunt necesare pentru exercitarea unor competenţe legale;
    b) desemnează/stabileşte responsabilul/structura/compartimentul specializat(ă) în domeniul protecţiei datelor cu caracter personal;
    c) asigură elaborarea procedurilor proprii şi, după avizarea acestora de către ORPDP, le aprobă. Se exceptează de la avizarea de către ORPDP procedurile care stabilesc măsuri de protecţie a datelor cu caracter personal prelucrate în contextul unor activităţi din domeniul securităţii naţionale;
    d) asigură implementarea şi veghează la respectarea normelor procedurale în materia prelucrării datelor cu caracter personal de către utilizatori;
    e) asigură desfăşurarea pregătirii de specialitate şi instruirea utilizatorilor în acest domeniu;
    f) dispune măsuri de completare sau, după caz, de modificare a fişei posturilor utilizatorilor;
    g) analizează şi dispune în ceea ce priveşte suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de evidenţă a datelor cu caracter personal, în condiţiile legii;
    h) informează ORPDP în legătură cu orice încălcare a normelor de protecţie a datelor cu caracter personal de natură a prejudicia drepturile persoanei vizate, cu privire la măsurile dispuse pentru identificarea persoanei responsabile şi limitarea efectelor unei diseminări neautorizate a datelor, precum şi cu privire la situaţiile în care au fost emise recomandări sau aplicate sancţiuni de către ANSPDCP sau când aceasta a dispus efectuarea unui control prealabil ori a unor investigaţii;
    i) asigură realizarea evidenţei tuturor categoriilor de activităţi de prelucrare a datelor cu caracter personal, precum şi actualizarea acesteia;
    j) dispune măsuri prin care să se realizeze monitorizarea cu privire la eficacitatea măsurilor de securitate stabilite în vederea asigurării securităţii datelor personale prelucrate la nivelul structurii;
    k) dispune măsuri cu privire la măsurile organizatorice necesare referitoare la monitorizarea internă pentru a asigura legalitatea operaţiunilor de prelucrare, respectarea prezentelor instrucţiuni şi a legislaţiei din domeniul protecţiei datelor (automonitorizare);
    l) asigură implementarea mecanismelor adecvate pentru obţinerea, păstrarea şi demonstrarea existenţei consimţământului valabil în baza căruia se realizează prelucrări de date în temeiul art. 6 alin. (1) lit. (a) şi al art. 9 alin. (2) lit. (a) din RGPD.

    (2) Conducerea structurii/instituţiei/unităţii care are calitatea de persoană împuternicită de operator are atribuţiile prevăzute la alin. (1) lit. b), d)-g) şi i)-j).
    (3) În cazul în care este incidentă una dintre situaţiile prevăzute la alin. (1) lit. h), conducerea persoanei împuternicite de operator are obligaţia de a informa şi operatorul al cărui împuternicit este.

    ART. 7
    (1) Responsabilul cu protecţia datelor personale are obligaţiile stabilite la art. 38 alin. (3) teza finală şi alin. (5) din RGPD şi îndeplineşte sarcinile stabilite la art. 39 din RGPD şi la art. 42 din Legea nr. 363/2018, după caz, precum şi următoarele atribuţii:
    a) elaborează şi implementează politici de protecţia datelor sau proceduri proprii, pe care le supune aprobării conducerii operatorului, după avizarea acestora de ORPDP;
    b) elaborează ghidul pentru exercitarea drepturilor de către persoana vizată;
    c) informează de îndată conducerea operatorului sau a persoanei împuternicite de operator despre vulnerabilităţile şi riscurile semnalate în sistemul de securitate a prelucrării datelor cu caracter personal al structurii/instituţiei/unităţii şi propune măsuri pentru înlăturarea acestora;
    d) coordonează şi monitorizează activitatea personalului pe linia protecţiei datelor cu caracter personal la nivelul operatorului sau al persoanei împuternicite de operator;
    e) efectuează, prin sondaj, verificări privind modul de aplicare a măsurilor legale de protecţie a datelor cu caracter personal, întocmeşte documente şi formulează propuneri pentru remedierea deficienţelor constatate, pe care le înaintează spre aprobare conducerii operatorului sau, după caz, a persoanei împuternicite de operator;
    f) asigură relaţionarea, solicită asistenţă de specialitate şi participă la convocările şi activităţile organizate de ORPDP în domeniul prelucrării datelor cu caracter personal;
    g) coordonează şi asigură soluţionarea cererilor persoanelor vizate. Informarea persoanei vizate în temeiul art. 12-14 din RGPD se realizează de responsabilul cu protecţia datelor prin postarea pe site/la avizier a unei note de informare/a unui material de informare/ghid, însoţită/însoţit de formulare;
    h) ţine evidenţa cererilor persoanelor vizate şi a cazurilor de limitare în condiţiile prevăzute de art. 15, 17 şi 18 din Legea nr. 363/2018 sau în condiţiile art. 23 din RGPD;
    i) păstrează şi actualizează evidenţa întocmită de operator în conformitate cu art. 30 din RGPD sau cu art. 27 din Legea nr. 363/2018, după caz, cu sprijinul structurilor care realizează operaţiunile de prelucrare;
    j) realizează periodic instruiri în domeniul protecţiei datelor cu personalul care prelucrează date cu caracter personal din cadrul operatorului;
    k) primeşte sesizările privind încălcările de securitate sau se sesizează din oficiu, desfăşoară activităţi de verificare şi propune măsuri conducerii;
    l) ţine evidenţa declaraţiilor de consimţământ explicit în baza cărora se realizează prelucrări de date în temeiul art. 6 alin. (1) lit. (a) şi al art. 9 alin. (2) lit. (a) din RGPD;
    m) asistă, la solicitarea ANSPDCP, la efectuarea unor investigaţii în domeniul protecţiei datelor cu caracter personal, efectuate la operator sau persoana împuternicită de operator;
    n) participă, potrivit competenţelor, la solicitarea structurilor cu atribuţii de control din cadrul operatorului sau persoanei împuternicite de operator, la activităţile de îndrumare, sprijin şi control efectuate la structurile din cadrul operatorului sau persoanei împuternicite de operator, în conformitate cu dispoziţiile legale în vigoare;
    o) ţine documentaţia aferentă evaluărilor de impact efectuate la nivelul operatorului de date.

    (2) Atribuţiile specifice responsabilului/personalului din cadrul structurii/compartimentului specializat(e) în domeniul protecţiei datelor cu caracter personal se stabilesc prin fişa postului.

    ART. 8
    (1) Utilizatorul are următoarele obligaţii specifice:
    a) să cunoască şi să aplice prevederile actelor normative din domeniul prelucrării datelor cu caracter personal, precum şi normele interne în materie emise la nivelul MAI;
    b) să prelucreze exclusiv datele cu caracter personal necesare îndeplinirii atribuţiilor de serviciu şi să acorde sprijin responsabilului/structurii responsabile cu protecţia datelor personale pentru realizarea activităţilor specifice ale acestuia/ acesteia;
    c) să păstreze confidenţialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;
    d) să respecte măsurile de securitate, precum şi celelalte reguli stabilite de operator, inclusiv cele stabilite prin politici sau proceduri proprii;
    e) să informeze de îndată conducerea ierarhic superioară a structurii din care face parte şi responsabilul/structura responsabilă cu protecţia datelor personale cu privire la orice împrejurări de natură a conduce la o diseminare neautorizată de date cu caracter personal, cu privire la situaţiile în care au fost accesate/prelucrate date cu caracter personal prin încălcarea normelor legale sau la orice alte situaţii de încălcare a securităţii datelor, despre care a luat la cunoştinţă;
    f) să utilizeze numai echipamentele securizate şi puse la dispoziţie de operator, în vederea diseminării/comunicării de date cu caracter personal.

    (2) Pentru fiecare utilizator, fişa postului se completează în mod corespunzător cu obligaţiile prevăzute la alin. (1).

    ART. 9
    (1) La începerea activităţii în cadrul operatorului şi înainte de începerea exercitării atribuţiilor specifice funcţiei îndeplinite, în cazul în care acestea includ activităţi de prelucrare a datelor cu caracter personal, utilizatorul trebuie să semneze o declaraţie pe propria răspundere, conform modelului prevăzut în anexa nr. 2, prin care menţionează că a luat cunoştinţă de normele de protecţie a acestor date, pe care se obligă să le respecte. Declaraţia se semnează în prezenţa responsabilului cu protecţia datelor sau, în caz de imposibilitate obiectivă, în prezenţa şefului nemijlocit, după care se păstrează în format electronic, scanat de către responsabil, şi se înaintează, în original, structurii de resurse umane din cadrul operatorului, în vederea păstrării la dosarul de personal.
    (2) Utilizatorul prelucrează date cu caracter personal doar pe perioada în care îndeplineşte atribuţii care includ activităţi de prelucrare a datelor cu caracter personal.
    (3) Operatorul permite, în condiţiile legii, prelucrarea datelor cu caracter personal de către utilizatorii unui alt operator din afara ori din cadrul MAI, pe perioada necesară îndeplinirii unor atribuţii de serviciu.
    (4) În scopul prevăzut la alin. (3), operatorii încheie un protocol de cooperare/contract, care să prevadă că prelucrarea datelor cu caracter personal se face cu respectarea drepturilor persoanelor vizate, respectiv a condiţiilor de securitate stabilite de către operatorul care gestionează sau administrează sistemul de evidenţă a datelor cu caracter personal.

    ART. 10
    Extinderea sau restrângerea atribuţiilor privind prelucrarea datelor cu caracter personal se dispune de către conducerea operatorului ori a persoanei împuternicite de operator atunci când utilizatorul se află în una dintre următoarele situaţii:
    a) la modificarea raporturilor de muncă/serviciu;
    b) la modificarea atribuţiilor privind prelucrarea datelor cu caracter personal, prevăzute în fişa postului.


    ART. 11
    (1) Dreptul de acces al utilizatorului la sistemele de evidenţă se suspendă pe perioada în care acesta se află în una dintre următoarele situaţii:
    a) lipseşte o perioadă mai mare de 3 luni din unitate;
    b) este cercetat administrativ sau disciplinar referitor la încălcarea dispoziţiilor legale privind prelucrarea datelor cu caracter personal.

    (2) Conducerea operatorului dispune revocarea contului unic de către administratorul sistemului atunci când utilizatorul se află în una dintre următoarele situaţii:
    a) la încetarea raporturilor de muncă/de serviciu;
    b) a intervenit o modificare a raporturilor de muncă/de serviciu, iar noile atribuţii nu impun accesul la date cu caracter personal.

    (3) Accesul la bazele de date poate fi reacordat numai în urma analizării şi înlăturării cauzei/cauzelor care a/au determinat aplicarea măsurilor prevăzute la art. 10.
    (4) Analiza prevăzută la alin. (3) se efectuează de către şeful nemijlocit al utilizatorului, care poate consulta în acest sens responsabilul cu protecţia datelor.

    ART. 12
    (1) La nivelul ORPDP se constituie Registrul de evidenţă a operatorilor din cadrul MAI, al cărui model este prevăzut în anexa nr. 3.
    (2) Operatorii au obligaţia de a informa ORPDP ori de câte ori datele conţinute de registrul prevăzut la alin. (1) suferă modificări.

    ART. 13
    (1) Fără a se limita la aceste modalităţi, instruirea utilizatorilor în domeniul protecţiei datelor se realizează prin: însuşirea temelor incluse în planurile anuale de pregătire continuă, tutela profesională, instruiri organizate de ORPDP sau responsabilul cu protecţia datelor desemnat la nivelul operatorului, cursuri organizate de ORPDP sau instituţiile care asigură formarea profesională a personalului MAI.
    (2) Planurile anuale de pregătire continuă la nivelul operatorilor şi programul perioadei de tutelă profesională trebuie să conţină teme privind legislaţia naţională şi legislaţia europeană în materia prelucrării datelor cu caracter personal, precum şi teme specifice privind riscurile pe care le comportă prelucrarea datelor cu caracter personal şi măsurile minime de securitate, în funcţie de specificul activităţii fiecărui operator.
    (3) Instruirile prevăzute la alin. (1) se realizează periodic sau la modificarea raporturilor de serviciu ale utilizatorului, la modificarea cadrului legal în materie sau când a avut loc o încălcare privind securitatea datelor.
    (4) Atunci când a avut loc o încălcare privind securitatea datelor, prelucrarea acesteia se realizează cu toţi utilizatorii operatorului, pentru a evita producerea unei încălcări similare în viitor.
    (5) Instruirile periodice conţin obligatoriu informaţii cu privire la riscurile generate de vulnerabilităţi şi ameninţări informatice.
    (6) La finalul instruirilor prevăzute la alin. (1) se pot face evaluări ale gradului de înţelegere a temelor prezentate.
    (7) Evaluările de la finalul anului trebuie să conţină obligatoriu şi întrebări din domeniul protecţiei datelor cu caracter personal.

    CAP. III
    Prelucrarea datelor cu caracter personal
    ART. 14
    (1) Operatorii şi persoanele împuternicite de operatori prelucrează date cu caracter personal care pot face ulterior obiectul unui sistem de evidenţă, automat sau manual, ori care sunt destinate să fie incluse într-un asemenea sistem, în mod distinct, pentru realizarea activităţilor desfăşurate în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor, executării pedepselor, măsurilor educative şi de siguranţă, precum şi menţinerii şi asigurării ordinii şi siguranţei publice, pentru scopuri administrative proprii ori pentru scopuri de administraţie publică, după caz, conform specificului activităţii.
    (2) Unităţile, instituţiile şi structurile aflate în subordinea/în cadrul MAI care, în calitate de operator, prelucrează date cu caracter personal prin persoane împuternicite trebuie să încheie un contract sau, după caz, un document de cooperare cu instituţia ori autoritatea publică sau entitatea de drept privat care prelucrează datele în numele ei.
    (3) Documentele prevăzute la alin. (2) trebuie să conţină obligaţiile prevăzute la art. 28 din RGPD, respectiv la art. 25 din Legea nr. 363/2018, după caz.
    (4) Unităţile, instituţiile şi structurile aflate în subordinea/în cadrul MAI care au calitatea de operatori asociaţi, în sensul art. 3 alin. (2), au obligaţia de a încheia un acord care trebuie să cuprindă cel puţin următoarele elemente:
    a) obligaţiile părţilor pentru asigurarea unei prelucrări legale şi echitabile;
    b) categoriile de date care fac obiectul prelucrării, inclusiv modalitatea prin care se asigură respectarea principiului reducerii la minimum a datelor;
    c) operaţiunile şi procedurile de prelucrare a datelor cu caracter personal;
    d) condiţiile în care datele cu caracter personal pot fi comunicate altor persoane fizice sau juridice;
    e) descrierea măsurilor necesare pentru asigurarea securităţii prelucrărilor;
    f) măsurile necesar a fi instituite pentru asigurarea confidenţialităţii prelucrărilor;
    g) măsurile instituite pentru asigurarea exercitării drepturilor de către persoanele vizate;
    h) punctul de contact unic pentru persoanele vizate.


    ART. 15
    Prelucrarea datelor cu caracter personal se poate realiza prin mijloace automate sau manual în cadrul unor operaţiuni ori seturi de operaţiuni, cum ar fi:
    a) colectarea - strângerea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă;
    b) înregistrarea - consemnarea datelor cu caracter personal într-un sistem de evidenţă automat ori manual, care poate fi registru, fişier electronic, bază de date sau orice altă formă de evidenţă organizată, structurată ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele;
    c) organizarea - ordonarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizării/ optimizării activităţilor de prelucrare a acestora;
    d) structurarea - utilizarea unor metode sistematice de stocare a informaţiilor şi datelor într-un sistem de evidenţă, în aşa fel încât ele să poată fi folosite în mod eficient;
    e) stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţă;
    f) adaptarea - transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate;
    g) modificarea - actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate;
    h) extragerea - scoaterea unei părţi din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat şi distinct de prelucrarea iniţială;
    i) consultarea - examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară;
    j) utilizarea - folosirea datelor cu caracter personal, în tot sau în parte, de către şi în interiorul operatorului, persoanelor împuternicite de operator ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare;
    k) divulgarea prin transmitere, diseminare sau punere la dispoziţie în orice alt mod - modalitatea prin care datele cu caracter personal se fac disponibile către terţi prin comunicare, transmitere, dezvăluire sau în orice alt mod;
    l) alinierea - modalitatea prin care datele sunt aranjate şi accesate din memoria sistemului informatic în vederea valorificării ulterioare;
    m) combinarea - îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
    n) restricţionarea - marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;
    o) ştergerea - eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea;
    p) distrugerea - aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivă şi irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.


    ART. 16
    (1) Prelucrarea datelor cu caracter personal se realizează de către operatori şi persoane împuternicite de operatori în exercitarea atribuţiilor expres stabilite printr-un act normativ sau atunci când acesta prevede constituirea unor sisteme de evidenţă la nivel naţional/teritorial, în scopul realizării unor activităţi/servicii de interes public.
    (2) Colectarea datelor cu caracter personal se poate face direct de la persoana vizată sau din alte surse, care pot fi, dar fără a se limita la: activitatea proprie a operatorului sau a persoanei împuternicite de operator, consultarea directă a unor sisteme de evidenţă a datelor cu caracter personal constituite de alţi operatori ori schimbul de date şi informaţii cu alţi operatori, naţionali sau internaţionali, cu respectarea drepturilor persoanelor vizate şi instituirea unor măsuri adecvate de securitate a prelucrărilor.
    (3) Informarea persoanei vizate se realizează în condiţiile art. 13 şi 14 din RGPD, respectiv art. 13 şi 14 din Legea nr. 363/2018, după caz.
    (4) Stocarea datelor cu caracter personal se realizează în condiţiile stabilite prin actul normativ care reglementează scopul prelucrării şi potrivit legislaţiei arhivistice în vigoare.

    ART. 17
    (1) Operatorii şi persoanele împuternicite de operatori prelucrează date cu caracter personal în scopuri de organizare, gestiune sau asigurare economico-financiară şi administrativă privind proprii angajaţi şi membrii de familie ai acestora, în cadrul activităţii de management resurse umane, asigurare a asistenţei medicale sau pentru desfăşurarea unor activităţi cultural-artistice, jurnalistice ori sportive.
    (2) Operatorii şi persoanele împuternicite de operatori care prelucrează date cu caracter personal cu ocazia organizării unor concursuri sau examene stabilesc condiţiile concrete de asigurare a securităţii prelucrărilor, precum şi de informare a persoanelor vizate privind drepturile acestora.
    (3) Datele cu caracter personal astfel prelucrate se şterg sau se distrug după realizarea scopului în care au fost prelucrate.
    (4) Stocarea acestor date pentru o perioadă mai mare decât cea necesară realizării scopului poate avea loc în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare sau în scopuri statistice.

    CAP. IV
    Comunicarea datelor cu caracter personal
    ART. 18
    (1) Datele cu caracter personal se comunică între operatori şi persoanele împuternicite de operatori sau între operatorii sau persoanele împuternicite de operatorii în cauză şi alte instituţii ori organisme publice sau entităţi de drept public sau privat în una dintre următoarele situaţii:
    a) în cazurile prevăzute la art. 6 alin. (1) din RGPD;
    b) în cazul prelucrării datelor cu caracter personal în scopul realizării activităţilor de prevenire, descoperire, cercetare, urmărire penală şi combatere a infracţiunilor, de executare a pedepselor, măsurilor educative şi de siguranţă, precum şi de menţinere şi asigurare a ordinii şi siguranţei publice de către autorităţile competente, în condiţiile prevăzute de Legea nr. 363/2018.

    (2) Comunicarea datelor cu caracter personal în situaţiile prevăzute la alin. (1) se face dacă este îndeplinită una dintre următoarele condiţii:
    a) comunicarea se efectuează pe baza unui contract sau, după caz, a unui document de cooperare care trebuie să cuprindă cel puţin: temeiul legal al prelucrării şi scopul acesteia, tipurile de date care fac obiectul prelucrării, perioadele de stocare, drepturile şi obligaţiile părţilor, măsurile de asigurare a unei prelucrări legale şi echitabile şi de respectare a drepturilor persoanei vizate, măsurile necesare pentru asigurarea securităţii prelucrărilor, măsurile necesar a fi instituite pentru asigurarea confidenţialităţii şi limitările legate de scop;
    b) comunicarea se efectuează în baza unei solicitări scrise, care trebuie să cuprindă temeiul legal, care abilitează persoana/autoritatea solicitantă să prelucreze categoriile de date solicitate în scopul urmărit, scopul prelucrării şi datele solicitate.

    (3) Comunicarea datelor cu caracter personal de către operatori şi persoanele împuternicite de operatori se poate face şi online, cu respectarea dispoziţiilor alin. (1) şi (2) şi asigurarea securităţii sistemelor de comunicaţii ale datelor cu caracter personal.
    (4) Datele cu caracter personal asupra cărora persoanele vizate au exercitat şi li s-a recunoscut dreptul de opoziţie nu pot face obiectul prelucrării.
    (5) Comunicarea de date cu caracter personal se poate efectua şi din oficiu, în condiţiile legii.

    ART. 19
    (1) Cererile pentru comunicarea datelor cu caracter personal adresate operatorilor şi persoanelor împuternicite de operatori trebuie să conţină datele de identificare ale solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor legale sau obligaţiilor cuprinse în tratate la care România sau Guvernul României este parte.
    (2) Cererile care nu conţin elementele prevăzute la alin. (1) se restituie pentru completare, iar cele care nu se încadrează în condiţiile prevăzute de lege sau de tratatele la care România sau Guvernul României este parte se resping, menţionându-se motivele pentru care comunicarea datelor cu caracter personal nu este posibilă.
    (3) Înainte de comunicarea datelor cu caracter personal, operatorii şi persoanele împuternicite de operatori verifică dacă acestea sunt exacte şi, dacă este cazul, actualizate.
    (4) În situaţia în care se constată că au fost transmise date incorecte sau neactualizate, operatorii au obligaţia de a informa destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea datelor care au fost modificate.
    (5) La comunicarea datelor cu caracter personal, operatorii şi persoanele împuternicite de operatori atenţionează destinatarii asupra interdicţiei de a prelucra datele pentru alte scopuri decât cele specificate în cererea de comunicare.

    CAP. V
    Măsuri de asigurare a exercitării drepturilor persoanelor vizate
    ART. 20
    (1) Exercitarea drepturilor de către persoana vizată se face în conformitate cu prevederile capitolului III din RGPD şi, după caz, ale art. 13-18 din Legea nr. 363/2018, iar soluţionarea acestora se face potrivit procedurilor proprii ale operatorilor MAI pentru soluţionarea cererilor de exercitare a drepturilor de către persoana vizată.
    (2) Operatorii şi persoanele împuternicite de operatori dispun măsuri pentru ca în spaţiile accesibile publicului să existe mijloace de informare a persoanei vizate care să cuprindă drepturile conferite de lege, precum şi ghidul pentru exercitarea drepturilor de către persoana vizată.
    (3) Ghidul trebuie să conţină detalierea drepturilor persoanei vizate, dar şi modalitatea practică pentru depunerea cererilor de către persoana vizată, datele de contact ale operatorului, ale responsabilului cu protecţia datelor personale şi modalitatea de transmitere a răspunsurilor. Ghidul se afişează, după caz, şi pe pagina de internet a operatorului.
    (4) Operatorii şi persoanele împuternicite de operatori afişează, după caz, pe pagina de internet formulare-tip de cereri pentru exercitarea drepturilor de către persoana vizată.
    (5) Exercitarea drepturilor persoanei vizate poate fi limitată în condiţiile prevăzute la art. 15, 17 şi art. 18 alin. (8) din Legea nr. 363/2018 sau în condiţiile art. 23 din RGPD, ţinând seama de domeniul în care a avut loc prelucrarea, sau în alte situaţii prevăzute de lege.
    (6) Operatorii şi persoanele împuternicite de operatori ţin evidenţa cazurilor prevăzute la alin. (5) şi o comunică sub formă statistică, anual, ORPDP, până la 31 ianuarie, pentru anul precedent, în cadrul analizei prevăzute de art. 5 alin. (1) lit. e).
    (7) Evidenţa cazurilor prevăzute la alin. (5) trebuie să cuprindă cel puţin următoarele informaţii: măsura luată, motivul care a stat la baza măsurii, data în care a fost dispusă măsura şi perioada de aplicare a măsurii. În situaţia omisiunii şi limitării parţiale, la încetarea perioadei de aplicare a măsurii, structura care a invocat măsura transmite informaţiile aferente prelucrării responsabilului cu protecţia datelor în vederea informării persoanei vizate.
    (8) Operatorii şi persoanele împuternicite de operatori elaborează proceduri interne privind stabilirea modului de soluţionare a cererilor persoanelor vizate, inclusiv mecanismul de determinare a perioadei care face obiectul verificărilor în scopul soluţionării acestor cereri, conform structurii-cadru prevăzute la anexa nr. 4.
    (9) Pentru aparatul central al MAI, obligaţiile prevăzute la alin. (2)-(4) se aduc la îndeplinire prin grija ORPDP.

    TITLUL II
    Măsuri tehnice
    ART. 21
    (1) Pentru fiecare utilizator de date cu caracter personal, administratorul sistemului de evidenţă automat care prelucrează date cu caracter personal stabileşte un cont unic de acces în sistem care să permită identificarea, autentificarea şi autorizarea operaţiunilor, asigurând totodată înregistrarea operaţiunilor efectuate.
    (2) Identificarea şi autentificarea utilizatorului într-un sistem informatic care prelucrează date cu caracter personal se poate realiza prin introducerea unui cod de identificare de la tastatură (nume de utilizator) însoţit de introducerea unei parole şi/sau prin utilizarea unui dispozitiv electronic de tip smart card/token însoţit de introducerea unui cod PIN.
    (3) Operatorii stabilesc modalitatea concretă de identificare şi autentificare folosită, în funcţie de importanţa datelor cu caracter personal deţinute, volumul acestora, numărul de utilizatori, frecvenţa interogărilor şi operaţiunile de prelucrare, precum şi măsurile de protecţie fizică a locaţiei, aceştia având posibilitatea să opteze, după caz, pentru instituirea unei autentificări multiple, combinând oricare dintre modalităţile prevăzute la alin. (2).
    (4) Smartcardurile, tokenurile, codurile de identificare, numele de utilizator, parolele şi codurile PIN sunt unice, personale şi netransmisibile. Se interzice folosirea lor în comun de către mai mulţi utilizatori.
    (5) Parolele trebuie să aibă minimum 10 caractere alfanumerice - litere mari, litere mici, cifre, semne şi caractere speciale -, iar introducerea acestora nu trebuie să conducă la identificarea lor prin afişarea pe ecran. Se interzice păstrarea parolei la vedere astfel încât să nu fie accesibilă altor persoane.
    (6) Parolele se schimbă ori de câte ori este nevoie, dar cel puţin o dată la 3 luni pentru utilizatori şi la 6 luni pentru administratorii aplicaţiei.
    (7) La generarea contului unic utilizatorul primeşte parola/codul PIN şi codul de identificare sau numele de utilizator. Utilizatorul are obligaţia să schimbe parola în următoarele situaţii:
    a) la prima accesare a contului unic;
    b) în cazurile prevăzute de alin. (6);
    c) ori de câte ori apreciază ca fiind necesar pentru asigurarea securităţii prelucrării datelor cu caracter personal.

    (8) Administratorul sistemului informatic care prelucrează date cu caracter personal ia măsurile necesare pentru activarea unui mesaj de avertizare după a patra introducere greşită a parolei şi blocarea contului la a cincea introducere greşită. Mesajul pentru utilizator va cuprinde următorul text: „Atenţie, aţi introdus greşit parola de 4 ori. La a cincea introducere greşită, contul va fi blocat“. După cea de-a cincea introducere greşită a parolei, pe ecran va fi afişat următorul mesaj: „Atenţie! Contul este blocat. Vă rugăm să contactaţi administratorul de sistem.“ Aceste măsuri sunt obligatorii şi în fazele de proiectare şi implementare a sistemelor informatice ce prelucrează date cu caracter personal.
    (9) La începutul sesiunii de lucru, interfaţa grafică a sistemului informatic care prelucrează date cu caracter personal trebuie să afişeze un mesaj de avertizare privind obligativitatea păstrării confidenţialităţii datelor cu caracter personal prelucrate, precum şi referitor la auditarea tuturor operaţiunilor efectuate de către operator. Mesajul afişat la începutul sesiunii va cuprinde următorul text: „Atenţie! Aţi accesat un sistem informatic proprietatea MAI care prelucrează date cu caracter personal. Aveţi obligativitatea respectării legislaţiei privind prelucrarea datelor cu caracter personal, orice activitate fiind auditată. Nerespectarea acestor norme atrage, potrivit legii, răspunderea disciplinară, civilă sau materială, după caz.“
    (10) În situaţia în care pe sistemul informatic sunt gestionate şi informaţii clasificate, mesajul afişat la începutul sesiunii va cuprinde următorul text: „Atenţie! Aţi accesat un sistem informatic proprietatea MAI care prelucrează date cu caracter personal şi informaţii clasificate de nivel secrete de serviciu/secrete de stat de nivel secret/strict secret/strict secret de importanţă deosebită, după caz. Aveţi obligativitatea respectării legislaţiei în vigoare, orice activitate fiind auditată. Nerespectarea acestor norme atrage, potrivit legii, răspunderea disciplinară, civilă sau materială, după caz.“

    ART. 22
    (1) În timpul programului de lucru, dispozitivele de autentificare menţionate la art. 21 alin. (2), precum şi cartelele de acces se păstrează permanent asupra utilizatorului. În afara programului de lucru, dispozitivele de autentificare menţionate la art. 21 alin. (2) se păstrează în fişet/casetă metalică încuiat/încuiată şi sigilat/sigilată.
    (2) Se interzice păstrarea cartelei sau tokenului, la vedere sau în alt mod decât cel prevăzut mai sus, ori diseminarea/ transmiterea acestora către alte persoane.
    (3) Documentele care conţin coduri de identificare, parole de acces şi PIN-uri vor fi distruse, cu excepţia situaţiilor în care legislaţia în domeniul arhivistic interzice în mod expres acest lucru.
    (4) Şeful nemijlocit al utilizatorului informează conducerea operatorului despre incidenţa situaţiilor prevăzute la art. 11.
    (5) Ulterior informării prevăzute la alin. (4), conducerea operatorului dispune de îndată măsuri astfel încât conturile de utilizator să fie suspendate sau revocate.
    (6) Utilizatorul aflat în una dintre situaţiile prevăzute la art. 11 are obligaţia de a preda dispozitivele de autentificare menţionate la art. 21 alin. (2), precum şi cartelele de acces structurii emitente.
    (7) După încetarea situaţiilor prevăzute la art. 11 alin. (1) şi (2), operatorul dispune reactivarea contului de utilizator.
    (8) Sistemul informatic care prelucrează date cu caracter personal trebuie configurat astfel încât să asigure dezactivarea automată a codurilor de identificare şi a cartelelor de acces/smart card/token care nu au fost folosite o perioadă de 4 luni pentru utilizatori, respectiv 6 luni pentru administratorii aplicaţiei; acestea sunt menţinute în istoricul de utilizatori.
    (9) La apariţia unei situaţii de modificare a competenţelor sau raporturilor de serviciu, operatorii stabilesc modalităţi concrete de revocare/suspendare a conturilor de acces, astfel încât prelucrarea datelor cu caracter personal să se facă numai de către personalul autorizat şi numai în exercitarea atribuţiilor de serviciu ale acestora.
    (10) Revocarea/Suspendarea manuală a conturilor de utilizator se va face numai de către administratorul sistemului informatic care prelucrează date cu caracter personal sau de către administratorii de utilizatori aferenţi.
    (11) Fiecare operator permite accesul utilizatorilor la sisteme de evidenţă a datelor cu caracter personal manuale numai pe baza unei liste nominale aprobate de conducerea operatorului/şeful acestuia, iar responsabilul cu elaborarea şi actualizarea listei se desemnează prin dispoziţia zilnică a conducerii operatorului.
    (12) Pentru accesul personalului la sistemele informatice care prelucrează datele cu caracter personal deţinute de alţi operatori, conturile de utilizator se obţin în baza solicitării scrise şi motivate a structurii/unităţii/instituţiei interesate sau pe baza unor protocoale încheiate în acest sens.

    ART. 23
    (1) La propunerea şefului nemijlocit al utilizatorului, conducerea operatorului stabileşte fiecărui utilizator tipurile de acces şi operaţiunile permise acestuia, strict necesare pentru îndeplinirea atribuţiilor de serviciu.
    (2) Cu ocazia proiectării, întreţinerii, actualizării de către dezvoltatorul public/privat a sistemelor informatice care prelucrează datele cu caracter personal, se interzice accesul specialiştilor la orice fel de date cu caracter personal deţinute/create/accesate de personalul din structura/unitatea respectivă. În aceste situaţii, se pun la dispoziţia programatorilor/personalului de întreţinere numai date anonime.
    (3) Pentru cazuri excepţionale, numai pe durata intervenţiei şi circumstanţiat limitativ la datele strict necesare, persoanele care asigură suportul tehnic pot avea acces la datele cu caracter personal numai în prezenţa unui utilizator desemnat de operator. În această situaţie, răspunderea pentru păstrarea confidenţialităţii datelor aparţine persoanelor care asigură suportul tehnic, sens în care trebuie să semneze un angajament de confidenţialitate.
    (4) Se interzice orice prelucrare de date cu caracter personal care nu este motivată strict de îndeplinirea unei atribuţii de serviciu a utilizatorului.

    ART. 24
    (1) În cazul încălcării securităţii datelor cu caracter personal, conducerea operatorului, raportat la prevederile art. 33 şi 34 din RGPD, respectiv art. 36 şi 39 din Legea nr. 363/2018, în funcţie de scopul în care sunt prelucrate datele, va dispune evaluarea încălcării şi notificarea ANSPDCP şi/sau informarea persoanei vizate/persoanelor vizate, după caz.
    (2) În evaluare va fi implicat responsabilul cu protecţia datelor desemnat la nivelul operatorului, o persoană din cadrul structurii/ compartimentului unde a avut loc încălcarea securităţii datelor şi, după caz, o persoană din cadrul structurii/compartimentului de IT&C.
    (3) Notificarea ANSPDCP şi informarea persoanei vizate se vor realiza de către responsabilul cu protecţia datelor.

    ART. 25
    (1) Datele cu caracter personal prelucrate prin mijloace automatizate folosite de operatori sau de persoanele împuternicite de operatori sunt salvate, prin copii de siguranţă, ori de câte ori este nevoie sau la un interval de timp stabilit de conducerea operatorului sau a persoanelor împuternicite de operatori, în funcţie de tipul operaţiunilor efectuate, mărimea, volumul şi importanţa acestor sisteme informatice care prelucrează date cu caracter personal, care nu poate depăşi 6 luni.
    (2) Operatorii şi persoanele împuternicite de operatori ţin evidenţa copiilor de siguranţă.
    (3) Conducerea operatorului sau a persoanei împuternicite de operator desemnează personal tehnic de specialitate care trebuie să aibă ca atribuţie de serviciu şi executarea copiilor de siguranţă ale sistemelor informatice deţinute/create, precum şi, după caz, ale programelor/aplicaţiilor/codului sursă utilizate în prelucrarea datelor cu caracter personal.
    (4) Conducerea operatorului sau a persoanei împuternicite de operator dispune măsurile necesare pentru stocarea copiilor de siguranţă în camere special amenajate sau în fişete metalice, sigilate. Accesul în încăperea special amenajată se acordă numai personalului anume desemnat şi se consemnează într-un registru special. Accesul la copiile de siguranţă se acordă ANSPDCP, în exercitarea atribuţiilor sale legale.
    (5) Copiile de siguranţă se vor realiza în mod automat şi vor fi stocate pe sisteme dedicate salvării copiilor de siguranţă.
    (6) Conducerea operatorului sau a persoanei împuternicite de operator poate institui măsuri suplimentare de siguranţă, precum sisteme de monitorizare video, atât pentru accesul în încăpere, cât şi pentru asigurarea integrităţii patrimoniului operatorului sau a persoanei împuternicite de operator, după caz.

    ART. 26
    (1) Accesul fizic în încăperile în care se află echipamente tip server sau storage care stochează date cu caracter personal este strict limitat la personalul desemnat de conducerea operatorului sau a persoanei împuternicite de operator şi numai pentru îndeplinirea atribuţiilor de serviciu.
    (2) În cazul în care nu se poate restricţiona accesul în aceste încăperi, echipamentele se securizează cu chei sau cartele magnetice.
    (3) Sistemele informatice care prelucrează date cu caracter personal trebuie prevăzute cu facilitatea închiderii automate a sesiunii de lucru dacă utilizatorul nu acţionează asupra datelor afişate pe ecran o perioadă de timp de până la 30 de minute, stabilită în funcţie de operaţiunile care trebuie executate.
    (4) Sistemele informatice care prelucrează date cu caracter personal trebuie prevăzute cu facilitatea închiderii automate a sesiunii de lucru după 120 de minute de la deschiderea sesiunii de lucru.
    (5) Terminalele de acces folosite în relaţia cu publicul se poziţionează astfel încât datele afişate să fie vizualizate numai de utilizatori sau să poată fi posibilă aplicarea pe ecranul acestora a unor filtre care să micşoreze unghiul de vizibilitate (filtre de confidenţialitate). Aceste terminale de acces trebuie să aibă setată funcţia „screen saver“ la o temporizare de maximum 5 minute, iar dacă acest lucru nu este posibil din punct de vedere tehnic, după trecerea intervalului de timp menţionat, datele afişate trebuie ascunse.

    ART. 27
    (1) Pentru prelucrările efectuate în sistemele de evidenţă automate, aplicaţia trebuie să înregistreze orice accesare într-un fişier de acces, denumit în continuare log. Stocarea acestor informaţii se face într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator, după caz.
    (2) Informaţiile înregistrate în log vor fi cel puţin:
    a) codul de identificare a staţiei de lucru folosite sau adresa IP şi codul/numele utilizatorului, după caz;
    b) categoriile de informaţii accesate;
    c) tipul operaţiunii de prelucrare;
    d) informaţii care să facă posibilă identificarea motivului prelucrării datelor cu caracter personal care trebuie să permită identificarea documentului/situaţiei concrete care a stat la baza şi a justificat prelucrarea datelor;
    e) codul operaţiei executate sau programul folosit;
    f) data accesului - an, lună, zi, ora, minutul, secunda.

    (3) Aplicaţia înregistrează orice încercare de acces neautorizat, sens în care administratorul sistemului de evidenţă informează responsabilul/structura responsabilă cu protecţia datelor cu caracter personal cu privire la alertă şi împreună cu acesta verifică împrejurările producerii alertei, propunând conducerii operatorului măsurile ce se impun.
    (4) Fără a aduce atingere regulilor în materie de păstrare a logurilor la nivel naţional, prevăzute de actele legislative europene şi naţionale care reglementează instituirea, funcţionarea şi utilizarea sistemelor de informaţii respective, logurile se păstrează cel puţin 2 ani, în funcţie de necesitatea asigurării disponibilităţii datelor pentru operator sau persoana împuternicită de operator, corelat cu importanţa şi volumul de date stocate. La acoperirea capacităţii de stocare, logurile vor fi transferate şi păstrate pe suport amovibil în condiţiile prevăzute pentru copiile de siguranţă.
    (5) Operatorul sau persoana împuternicită de operator instituie mecanisme de ţinere a evidenţei operaţiunilor de consultare a datelor cu caracter personal conţinute în sisteme de evidenţă manuale.
    (6) Declanşarea unei investigaţii a cărei finalizare depăşeşte termenul stabilit de operator, conform alin. (4), atrage prelungirea perioadei de păstrare, dar nu mai mult de 3 ani de la momentul declanşării acesteia.
    (7) Informaţiile din fişierele log sunt accesate în următoarele situaţii:
    a) de către operatorul sau persoana împuternicită de operator care gestionează sistemul de evidenţă, pentru utilizatorii proprii, în scopul efectuării de autoevaluări/automonitorizări cu privire la legalitatea şi la oportunitatea operaţiunilor, pentru soluţionarea cererilor de acces, pentru cercetări şi pentru verificări de ordin administrativ ori de control intern şi pentru valorificarea informaţiilor, conform destinaţiei sistemului informatic;
    b) de către operatorul sau persoana împuternicită de operator care gestionează sistemul de evidenţă, pentru toţi utilizatorii sistemului, pentru soluţionarea cererilor de acces;
    c) de către operatorul sau persoana împuternicită de operator care gestionează sistemul de evidenţă, cu privire la utilizatorii altor operatori, la solicitarea acestora adresată în scopul efectuării de autoevaluări/automonitorizări cu privire la legalitatea şi la oportunitatea operaţiunilor, pentru soluţionarea cererilor de acces, pentru cercetări şi pentru verificări de ordin administrativ ori de control intern şi pentru valorificarea informaţiilor, conform destinaţiei sistemului informatic;
    d) la solicitarea organelor de urmărire penală de comunicare a datelor informatice, în condiţiile stabilite de Codul de procedură penală;
    e) la solicitarea instituţiilor şi a structurilor cu atribuţii speciale conferite prin lege în domeniul asigurării securităţii naţionale, a securităţii infrastructurii cibernetice a MAI ori în cadrul activităţilor de informaţii, de contrainformaţii şi de protecţie;
    f) la solicitarea ANSPDCP în cadrul exercitării atribuţiilor de investigare şi control ale acesteia.


    ART. 28
    (1) Conducerea operatorului sau a persoanei împuternicite de operator care prelucrează date cu caracter personal dispune luarea măsurilor tehnice adecvate pentru identificarea eventualelor disfuncţionalităţi în ceea ce priveşte funcţionarea sistemelor informatice care prelucrează date cu caracter personal şi/sau sistemelor de comunicaţii folosite pentru transmiterea datelor.
    (2) Responsabilul/Structura responsabilă cu protecţia datelor cu caracter personal împreună cu administratorul sistemelor informatice care prelucrează date cu caracter personal efectuează periodic, prin sondaj sau la nevoie, controlul autentificărilor şi tipurilor de acces.
    (3) Responsabilul/Structura responsabilă cu protecţia datelor cu caracter personal împreună cu administratorul de reţea efectuează periodic, prin sondaj sau la nevoie, controlul respectării măsurilor de securitate specifice folosite pentru transmiterea datelor cu caracter personal.
    (4) Rezultatul controlului, eventualele disfuncţionalităţi identificate, precum şi măsurile de remediere a acestora se consemnează într-un raport care se supune aprobării conducerii operatorului sau a persoanei împuternicite de operator/şefului structurii/unităţii/instituţiei respective. Modalitatea de realizare a controlului, precum şi conţinutul raportului se stabilesc printr-o procedură proprie.
    (5) Conducerea operatorului sau a persoanei împuternicite de operator dispune măsurile necesare de securitate a sistemului de comunicaţii pentru înlăturarea posibilităţii de diseminare neautorizată sau interceptare a transmisiilor de date. În acest scop se poate folosi inclusiv transmisia criptată a datelor cu caracter personal.
    (6) Folosirea sistemelor de comunicaţii pentru transmiterea datelor cu caracter personal se realizează numai dacă prin această metodă se asigură gradul de operativitate impus de specificul activităţii desfăşurate de structurile implicate.

    ART. 29
    Conducerea operatorului sau a persoanei împuternicite de operator dispune măsurile necesare în vederea instituirii şi menţinerii unui nivel suficient de securitate a prelucrării datelor cu caracter personal, care vor consta cel puţin în:
    a) interzicerea instalării şi/sau folosirii de către personalul MAI a altor produse software în afara celor configurate de personalul autorizat, pentru îndeplinirea atribuţiilor de serviciu;
    b) configurarea porturilor de acces la mediile de stocare pentru fiecare staţie de lucru şi a comenzilor care permit salvarea sau listarea documentelor, în mod adecvat, pentru categoriile de operaţiuni efectuate de fiecare utilizator, în strictă legătură cu îndeplinirea atribuţiilor de serviciu ale acestuia;
    c) securizarea echipamentelor mobile/amovibile, destinate stocării datelor cu caracter personal;
    d) implementarea unor produse software/soluţii informatice de contracarare a vulnerabilităţilor şi ameninţărilor informatice şi de securitate a sistemelor informatice;
    e) implementarea unor măsuri suplimentare de securitate privind identificarea, prevenirea, partajarea, transferul sau utilizarea într-un mod nesigur/nepotrivit a datelor cu caracter personal;
    f) auditarea întregii infrastructuri hardware şi software în vederea identificării vulnerabilităţilor şi activităţii utilizatorilor care pot genera incidente de securitate; de asemenea, se va lua în considerare transmiterea acestora către o soluţie de management al evenimentelor şi informaţiilor de securitate - SIEM.


    ART. 30
    (1) Operatorul sau persoana împuternicită de operator se asigură că, atunci când sunt prelucrate date cu caracter personal prin mijloace manuale (documente pe suport hârtie, agende, formulare, date care sunt stocate în mod obişnuit în format electronic, dar au fost tipărite din anumite considerente etc.), sunt luate măsuri de securitate adecvate pentru a preveni accesul neautorizat, pierderea sau distrugerea datelor.
    (2) Operatorul sau persoana împuternicită de operator se asigură că mijloacele manuale se păstrează într-un loc sigur unde persoanele neautorizate nu pot avea acces. Prezentele instrucţiuni se aplică, de asemenea, şi asupra datelor care sunt stocate în mod obişnuit în format electronic, dar au fost tipărite din anumite considerente, care ţin de specificul anumitor activităţi.
    (3) Utilizatorii au obligaţia ca la terminarea programului de lucru să depoziteze mijloacele manuale care conţin date cu caracter personal în dulapuri sau încăperi închise cu cheie sau cu un alt mecanism de securizare. Mijloacele manuale care vizează cercetarea penală şi care conţin date cu caracter personal, precum şi cele care conţin date speciale vor fi întotdeauna depozitate în dulapuri închise la finalizarea programului de lucru.
    (4) Atunci când folosesc mijloace manuale care conţin date cu caracter personal în încăperi destinate publicului, utilizatorii au obligaţia să se asigure că datele cu caracter personal nu sunt vizibile altor persoane, cu excepţia persoanei vizate de prelucrare, când accesul acesteia la date nu afectează caracterul operativ al măsurilor ce trebuie luate.
    (5) Obligaţia de la alin. (4) vizează şi prelucrările realizate de utilizatori în spaţiul public.
    (6) Documentele elaborate de structurile/unităţile/instituţiile MAI, care conţin date cu caracter personal, se marchează în subsolul fiecărei pagini, cu excepţia documentelor clasificate, cu următoarele texte, după caz: „Document care conţine date cu caracter personal protejate de prevederile Regulamentului (UE) 2016/679!“ sau „Document care conţine date cu caracter personal protejate de prevederile Legii nr. 363/2018!“, în funcţie de scopul în care sunt prelucrate datele.
    (7) Conducerea operatorului sau a persoanei împuternicite de operator stabileşte condiţiile de imprimare a extraselor din sistemele de evidenţă a datelor cu caracter personal sau a altor documente care includ astfel de date, inclusiv de multiplicare, în strictă corelare cu îndeplinirea atribuţiilor de serviciu ale acestora. Extrasele din baza de date vor fi imprimate numai în măsura în care este necesar şi proporţional prin raportare la motivul efectuării interogării.
    (8) La finalizarea operaţiunilor de prelucrare, în situaţia în care mijloacele manuale au fost înregistrate, acestea vor urma regulile de clasare şi arhivare, în conformitate cu legislaţia specifică acestui domeniu.
    (9) În situaţia în care mijloacele manuale nu au fost înregistrate şi scopul prelucrării a fost atins, acestea se distrug prin metode care garantează imposibilitatea reconstruirii acestora (de exemplu, tocător tip cross-cut sau micro-cut, incinerare autorizată etc).

    ART. 31
    Procedurile proprii elaborate de operatori, potrivit art. 5 alin. (1) lit. d) şi art. 7 alin. (1) lit. a), trebuie să cuprindă, cel puţin:
    a) modalităţi de administrare a conturilor de utilizator;
    b) modalităţi de automonitorizare;
    c) modalităţi de control al accesului în încăperi în care se prelucrează date cu caracter personal;
    d) modalităţi de asigurare a confidenţialităţii, integrităţii şi disponibilităţii datelor cu caracter personal;
    e) modalităţi privind securitatea transmisiilor de date şi accesul securizat la aceste mijloace de transmitere a datelor;
    f) modalităţi de gestionare a riscurilor şi incidentelor de securitate;
    g) soluţionarea cererilor formulate de către persoana vizată cu privire la prelucrările datelor cu caracter personal;
    h) activităţile desfăşurate în cazul încălcării securităţii datelor cu caracter personal.


    ART. 32
    Nerespectarea dispoziţiilor prezentelor instrucţiuni poate atrage, potrivit legii, răspunderea disciplinară, civilă sau materială, după caz.

    ART. 33
    Pentru sistemele informatice aflate în exploatare, administratorii acestora vor actualiza măsurile tehnice conform prevederilor prezentelor instrucţiuni, în termen de 12 luni de la intrarea lor în vigoare.

    ART. 34
    (1) Prezentele instrucţiuni se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare în termen de 15 zile de la data publicării.
    (2) Anexele nr. 1-4 fac parte integrantă din prezentele instrucţiuni.
    (3) La data intrării în vigoare a prezentelor instrucţiuni, Instrucţiunile ministrului administraţiei şi internelor nr. 27/2010 privind măsurile de natură organizatorică şi tehnică pentru asigurarea securităţii prelucrărilor de date cu caracter personal efectuate de către structurile/unităţile Ministerului Afacerilor Interne, publicate în Monitorul Oficial al României, Partea I, nr. 98 din 12 februarie 2010, se abrogă.
    (4) Toate trimiterile la Instrucţiunile ministrului administraţiei şi internelor nr. 27/2010 se interpretează ca trimiteri la prezentele instrucţiuni.



                    p. Viceprim-ministru, ministrul afacerilor interne,
                    Silviu Nicu Macovei,
                    secretar de stat

    Bucureşti, 30 iulie 2025.
    Nr. 112.
    ANEXA 1

    REGISTRU DE EVIDENŢĂ
    a cererilor persoanelor vizate pentru exercitarea drepturilor
    conferite de prevederile Regulamentului (UE) 2016/679 al
    Parlamentului European şi al Consiliului din 27 aprilie 2016 privind
    protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor
    cu caracter personal şi privind libera circulaţie a acestor date şi de
    abrogare a Directivei 95/46/CE (Regulamentul general privind
    protecţia datelor), precum şi de cele ale Legii nr. 363/2018 privind
    protecţia persoanelor fizice referitor la prelucrarea datelor cu
    caracter personal de către autorităţile competente în scopul
    prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii
    infracţiunilor sau al executării pedepselor, măsurilor educative
    şi de siguranţă, precum şi privind libera circulaţie a acestor date
    Intrare

┌───────┬─────────────────────────────┬───────────┬────────────┬──────────┬──────────────────┬─────────┐
│       │Data înregistrării           │           │            │          │Act normativ      │         │
│       │Anul                         │           │Numele,     │          │aplicabil cererii │         │
│Nr.    │.............................│Modalitatea│prenumele şi│Conţinutul│                  │Termenul │
│curent ├────────┬────────────────────┤de intrare │adresa      │pe scurt  ├────────────┬─────┤de       │
│de     │        │                    │a cererii  │(domiciliul)│al cererii│Regulamentul│Legea│rezolvare│
│intrare│Luna    │Ziua                │           │persoanei   │          │(UE) 2016/  │nr.  │         │
│       │        │                    │           │vizate      │          │679         │363/ │         │
│       │        │                    │           │            │          │            │2018 │         │
├───────┼────────┼────────────────────┼───────────┼────────────┼──────────┼────────────┼─────┼─────────┤
│       │        │                    │           │            │          │            │     │         │
└───────┴────────┴────────────────────┴───────────┴────────────┴──────────┴────────────┴─────┴─────────┘



    Ieşire

┌───────────────────────────┬───────────┬──────────────────┬──────────┬──────┬───────────┐
│                           │Modalitatea│                  │          │      │           │
│Data ieşirii               │de         │Cât a durat       │          │      │Observaţii │
│Anul                       │transmitere│rezolvarea        │          │Unde  │(motivul   │
│...........................│a          │                  │Rezultatul│s-a   │prelungirii│
│                           │răspunsului│                  │cererii   │clasat│termenului │
├─────────────┬─────────────┼───────────┼──────┬───────────┤          │      │etc.)      │
│Luna         │Ziua         │           │În    │Prelungirea│          │      │           │
│             │             │           │termen│termenului │          │      │           │
├─────────────┼─────────────┼───────────┼──────┼───────────┼──────────┼──────┼───────────┤
│             │             │           │      │           │          │      │           │
└─────────────┴─────────────┴───────────┴──────┴───────────┴──────────┴──────┴───────────┘




    ANEXA 2

    DECLARAŢIE
    Subsemnatul/Subsemnata, ................................., născut(ă) la data de ....................., angajat/angajată al(a) ...................., în funcţia de ..............., cu domiciliul în ..........................., declar pe propria răspundere că am luat cunoştinţă de prevederile legale referitoare la protecţia datelor cu caracter personal şi consimt să păstrez confidenţialitatea datelor cu caracter personal a căror prelucrare o efectuez în condiţiile legii, în virtutea atribuţiilor de serviciu, inclusiv după încetarea activităţilor de prelucrare a acestor date.
    Cunosc faptul că încălcarea normelor legale privind protecţia datelor cu caracter personal atrage răspunderea administrativă, disciplinară, materială sau civilă, în raport cu gravitatea faptei, potrivit legii.
    Data ................... Semnătura ........................
    Dată în prezenţa
    ............................................................
    (numele, prenumele şi semnătura responsabilului/persoanei din
    structura responsabilă cu protecţia datelor personale)
    Document care conţine date cu caracter personal protejate de prevederile Regulamentului (UE) 2016/679!

    ANEXA 3

    REGISTRU DE EVIDENŢĂ
    a operatorilor din cadrul Ministerului Afacerilor Interne

┌────┬────────────┬────────────────┬───────────┬──────────┬─────────┬───────────┬──────────────┬──────────┐
│    │Denumirea şi│                │           │          │         │           │              │          │
│    │datele de   │                │           │          │         │           │              │          │
│    │contact ale │Responsabilul/  │Scopul     │          │Categorii│           │Măsurile      │          │
│Nr. │structurii/ │Coordonatorul   │prelucrării│Datele    │de       │           │organizatorice│          │
│crt.│unităţii/   │compartimentului│/          │prelucrate│persoane │Destinatari│şi tehnice    │Observaţii│
│    │instituţiei │(date de        │Baza legală│          │vizate   │           │implementate  │          │
│    │Ministerului│contact)        │           │          │         │           │              │          │
│    │Afacerilor  │                │           │          │         │           │              │          │
│    │Interne     │                │           │          │         │           │              │          │
├────┼────────────┼────────────────┼───────────┼──────────┼─────────┼───────────┼──────────────┼──────────┤
│    │            │                │           │          │         │           │              │          │
└────┴────────────┴────────────────┴───────────┴──────────┴─────────┴───────────┴──────────────┴──────────┘



    ANEXA 4

    STRUCTURA-CADRU
    a procedurii privind soluţionarea cererilor formulate de către
    persoana vizată în exercitarea drepturilor prevăzute de
    Regulamentul (UE) 2016/679 al Parlamentului European şi al
    Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în
    ceea ce priveşte prelucrarea datelor cu caracter personal şi
    privind libera circulaţie a acestor date şi de abrogare a
    Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
    şi de Legea nr. 363/2018 privind protecţia persoanelor fizice
    referitor la prelucrarea datelor cu caracter personal de către
    autorităţile competente în scopul prevenirii, descoperirii,
    cercetării, urmăririi penale şi combaterii infracţiunilor sau al
    executării pedepselor, măsurilor educative şi de siguranţă,
    precum şi privind libera circulaţie a acestor date
    1. Scop
    Cuprinde prevederi referitoare la:
    - stabilirea unui set unitar de reguli pentru soluţionarea cererilor adresate operatorului, formulate de către persoana vizată în exercitarea drepturilor prevăzute de Regulamentul (UE) 2016/679 şi de Legea nr. 363/2018;
    – asigurarea respectării drepturilor persoanelor vizate în conformitate cu prevederile Regulamentului (UE) 2016/679, precum şi ale Legii nr. 363/2018, după caz, în funcţie de scopul prelucrării.


    2. Domeniu de aplicare
    Cuprinde prevederi referitoare la:
    - modul în care se organizează şi se desfăşoară activitatea pentru soluţionarea cererilor formulate de către persoana vizată în exercitarea drepturilor prevăzute de Regulamentul (UE) 2016/679 şi de Legea nr. 363/2018;
    – compartimentul/compartimentele care implementează procedura din cadrul operatorului Ministerului Afacerilor Interne.


    3. Documente de referinţă
    Cuprinde enumerarea actelor normative şi documentelor cu rol de reglementare.

    4. Definiţii şi abrevieri
    Cuprinde prevederi referitoare la termenii relevanţi pentru înţelegerea conţinutului procedurii, conform definiţiilor din actele normative, precum şi explicitarea acronimelor utilizate.

    5. Descrierea procedurii
    Cuprinde prevederi referitoare la:
    - scopurile prelucrării de date cu caracter personal de la nivelul operatorului Ministerului Afacerilor Interne;
    – enumerarea drepturilor persoanei vizate;
    – condiţiile privind cererea persoanei vizate - stabilirea naturii juridice a cererii;
    – situaţiile în care se solicită informaţii suplimentare pentru a identifica persoana vizată (spre exemplu: solicitarea a venit de pe o adresă de e-mail pseudonimizată, nu sunt ataşate copii după un document de identitate, nu este anexată împuternicirea avocaţională etc.);
    – situaţiile în care se refuză cererea (spre exemplu: nu poate să fie identificată persoana vizată, persoana vizată depune cereri cu acelaşi conţinut repetitiv etc.);
    – termenul în care operatorul este obligat să comunice răspunsul persoanei vizate în funcţie de scopul şi motivele prelucrării datelor;
    – mecanismul de determinare a perioadei care face obiectul verificărilor în scopul soluţionării acestor cereri;
    – modalitatea de depunere a cererii persoanei vizate (la sediul operatorului, înaintată prin poştă ori trimisă la adresa de e-mail a acestuia);
    – modalitatea de înregistrare şi repartizare a cererilor;
    – modalitatea de soluţionare a cererilor persoanei vizate şi arhivarea documentelor aferente soluţionării cererilor.


    6. Responsabilităţi
    Cuprinde prevederi referitoare la responsabilităţile personalului implicat în activitatea de primire, înregistrare, repartizare a cererilor, întocmire, avizare şi aprobare a răspunsului către persoana vizată, respectiv expedierea acestuia.

    7. Dispoziţii finale
    Cuprinde prevederi referitoare la modul de implementare a procedurii, data intrării în vigoare etc.

    8. Anexe
    Cuprinde enumerarea tuturor elementelor ataşate corpului procedurii: diagrama de proces, formulare, modele de documente etc.

    9. Cuprins
    Include o listă cu toate elementele componente ale procedurii şi numărul paginii pentru fiecare dintre acestea.


    ------

Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016

Tags: Monitorul Oficial, Acte Monitorul Oficial, Instructiuni, Alte Institutii,  INSTRUCŢIUNI nr. 112 din 30 iulie 2025

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016
x
DESCARCATI GRATUIT
Raportul Special
"5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR"
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016