Comunica experienta
MonitorulJuridic.ro
LEGE nr. 238 din 10 iunie 2009 privind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului Administratiei si Internelor in activitatile de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice
EMITENT: PARLAMENTUL PUBLICAT: MONITORUL OFICIAL nr. 405 din 15 iunie 2009
Parlamentul României adoptã prezenta lege.
CAP. I
Dispoziţii generale
ART. 1
(1) Prezenta lege reglementeazã prelucrarea automatã şi neautomatã a datelor cu caracter personal pentru realizarea activitãţilor de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice de cãtre structurile/unitãţile Ministerului Administraţiei şi Internelor, potrivit competenţelor acestora.
(2) Structurile/unitãţile Ministerului Administraţiei şi Internelor, denumite în continuare structurile/unitãţile M.A.I., care desfãşoarã, potrivit competenţelor, activitãţile prevãzute la alin. (1), în calitate de operatori, dobândite în condiţiile <>Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare, prelucreazã date cu caracter personal în exercitarea atribuţiilor legale.
ART. 2
(1) Pentru realizarea activitãţilor prevãzute la art. 1 alin. (1), structurile/unitãţile M.A.I. constituie, organizeazã şi deţin, potrivit atribuţiilor legale, sisteme de evidenţã şi utilizeazã mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, în condiţiile legii.
(2) Structurile/unitãţile M.A.I. utilizeazã sisteme de evidenţã şi/sau mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, cu respectarea drepturilor omului şi aplicarea principiilor legalitãţii, necesitãţii, confidenţialitãţii, proporţionalitãţii şi numai dacã, prin utilizarea acestora, este asiguratã protecţia datelor prelucrate.
(3) Înaintea introducerii unui sistem de evidenţã sau a unui mijloc automat/neautomat de prelucrare a datelor cu caracter personal care este susceptibil sã prezinte anumite riscuri privind datele prelucrate, structurile/unitãţile M.A.I. consultã Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal, denumitã în continuare Autoritatea naţionalã de supraveghere, care, dacã este cazul, stabileşte garanţii adecvate, potrivit legii.
CAP. II
Notificarea prelucrãrilor datelor cu caracter personal
ART. 3
(1) Prelucrãrile de date cu caracter personal sunt notificate Autoritãţii naţionale de supraveghere. Notificarea se efectueazã anterior oricãrei prelucrãri, în condiţiile legii.
(2) Notificarea prelucrãrii automate sau neautomate a datelor cu caracter personal prin sisteme de evidenţã a datelor cu caracter personal, realizatã potrivit legii de cãtre structurile/unitãţile M.A.I., cuprinde, pe lângã informaţiile prevãzute la <>art. 22 alin. (8) din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, în mod corespunzãtor şi informaţii referitoare la natura fiecãrui sistem de evidenţã a datelor cu caracter personal care are legãturã cu prelucrarea, precum şi la destinatarii cãrora le sunt comunicate datele.
(3) Notificarea prelucrãrii datelor cu caracter personal prin sisteme de evidenţã constituite în anumite cazuri numai pentru perioada necesarã realizãrii unor activitãţi de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice se face cu respectarea condiţiilor prevãzute la alin. (2), numai dacã prelucrarea nu a fãcut obiectul unei notificãri anterioare.
CAP. III
Colectarea datelor cu caracter personal
ART. 4
(1) Pentru realizarea activitãţilor prevãzute la art. 1 alin. (1), structurile/unitãţile M.A.I. colecteazã date cu caracter personal, cu sau fãrã consimţãmântul persoanei vizate, în condiţiile legii.
(2) Colectarea datelor cu caracter personal fãrã consimţãmântul persoanei vizate pentru realizarea activitãţilor prevãzute la art. 1 alin. (1) se face numai dacã aceastã mãsurã este necesarã pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.
(3) Colectarea datelor cu caracter personal pentru realizarea activitãţilor prevãzute la art. 1 alin. (1) se efectueazã de personalul structurilor/unitãţilor M.A.I. numai în scopul îndeplinirii atribuţiilor de serviciu.
(4) Colectarea datelor cu caracter personal în scopurile prevãzute la art. 1 alin. (1) trebuie sã fie limitatã la datele necesare pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.
(5) Colectarea de date privind persoana fizicã exclusiv datoritã faptului cã aceasta are o anumitã origine rasialã, anumite convingeri religioase ori politice, un anumit comportament sexual sau datoritã apartenenţei acesteia la anumite mişcãri ori organizaţii care nu contravin legii este interzisã.
(6) Prin excepţie de la prevederile alin. (5), structurile/unitãţile M.A.I. colecteazã şi prelucreazã, cu respectarea garanţiilor prevãzute de <>Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, date exclusiv în baza acestor criterii numai dacã, într-un caz determinat, sunt necesare pentru efectuarea actelor premergãtoare sau a urmãririi penale, ca urmare a sãvârşirii unei infracţiuni. Prevederile art. 3 se aplicã în mod corespunzãtor.
(7) Prevederile alin. (6) nu aduc atingere dispoziţiilor legale care reglementeazã obligaţia autoritãţilor publice de a respecta şi de a ocroti viaţa intimã, familialã şi privatã.
CAP. IV
Stocarea datelor cu caracter personal
ART. 5
(1) Pentru realizarea scopurilor activitãţilor prevãzute la art. 1 alin. (1), structurile/unitãţile M.A.I. stocheazã numai acele date cu caracter personal care sunt exacte, complete şi necesare îndeplinirii atribuţiilor legale sau obligaţiilor rezultate din instrumente juridice internaţionale la care România este parte.
(2) Stocarea diferitelor categorii de date cu caracter personal se realizeazã prin ordonarea acestora în funcţie de gradul lor de acurateţe şi exactitate. Datele cu caracter personal bazate pe opinii şi interpretãri personale rezultate din activitãţile prevãzute la art. 1 alin. (1) sunt ordonate în mod distinct.
(3) Structurile/unitãţile M.A.I. au obligaţia de a verifica periodic calitatea datelor prevãzute la alin. (2), conform regulilor stabilite potrivit art. 14 alin. (1) lit. b).
(4) În situaţia în care datele cu caracter personal stocate se dovedesc a fi inexacte sau incomplete, structurile/unitãţile M.A.I. care le deţin au obligaţia sã le şteargã, distrugã, modifice, actualizeze sau, dupã caz, sã le completeze.
(5) Structurile/unitãţile M.A.I. stocheazã datele cu caracter personal colectate în scopuri administrative separat de datele cu caracter personal colectate în scopurile prevãzute la art. 1 alin. (1).
CAP. V
Comunicarea datelor cu caracter personal
ART. 6
(1) Comunicarea datelor cu caracter personal între structurile/unitãţile M.A.I. se face numai în cazul în care este necesarã pentru exercitarea competenţelor şi îndeplinirea atribuţiilor legale ce le revin.
(2) Comunicarea de date cu caracter personal cãtre alte autoritãţi sau instituţii publice se poate efectua numai în urmãtoarele situaţii:
a) în baza unei prevederi legale exprese ori cu autorizarea Autoritãţii naţionale de supraveghere;
b) când datele sunt indispensabile îndeplinirii atribuţiilor legale ale destinatarului şi numai dacã scopul în care se face colectarea sau prelucrarea de cãtre destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de structurile/unitãţile M.A.I., iar comunicarea datelor de structurile/unitãţile M.A.I. se realizeazã în conformitate cu atribuţiile legale ale acestora.
(3) Prin excepţie de la prevederile alin. (2), comunicarea datelor cu caracter personal cãtre alte autoritãţi sau instituţii publice este permisã în urmãtoarele situaţii:
a) persoana vizatã şi-a exprimat consimţãmântul expres şi neechivoc pentru comunicarea datelor sale;
b) comunicarea este necesarã pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia.
(4) Comunicarea datelor cu caracter personal cãtre entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României se efectueazã numai dacã existã o obligaţie legalã expresã sau cu autorizarea Autoritãţii naţionale de supraveghere.
(5) Prin excepţie de la prevederile alin. (4), comunicarea datelor cu caracter personal cãtre entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României sau în afara acestuia este permisã dacã persoana vizatã şi-a dat consimţãmântul în mod expres şi neechivoc pentru comunicarea datelor sale sau dacã este necesarã pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia sau a unei alte persoane ameninţate.
ART. 7
Datele cu caracter personal deţinute de structurile/unitãţile M.A.I. potrivit scopurilor prevãzute la art. 1 alin. (1) pot fi transferate cãtre Organizaţia Internaţionalã a Poliţiei Criminale - Interpol, Oficiul European de Poliţie - Europol sau alte instituţii internaţionale similare, precum şi cãtre organismele de poliţie ale altor state, dacã existã o prevedere legalã expresã în legislaţia naţionalã sau într-un acord internaţional ratificat de România ori prevederi care reglementeazã cooperarea judiciarã internaţionalã în materie penalã sau, în lipsa unei astfel de prevederi, când transferul este necesar pentru prevenirea unui pericol grav şi iminent asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia, precum şi pentru combaterea unei infracţiuni grave prevãzute de lege, cu respectarea legii române.
ART. 8
(1) Cererile pentru comunicarea datelor cu caracter personal adresate structurilor/unitãţilor M.A.I. de cãtre alte structuri/unitãţi ale M.A.I., alte autoritãţi sau instituţii publice, entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României sau în afara acestuia şi organisme de poliţie ale altor state trebuie sã conţinã datele de identificare a solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte. Cererile care nu conţin aceste date şi nu sunt conforme prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte se resping.
(2) Înainte de comunicare, structurile/unitãţile M.A.I. verificã dacã datele solicitate sunt exacte, complete şi actualizate. În cazul în care se constatã cã nu sunt corecte, complete sau actualizate, datele nu se comunicã. În comunicãri trebuie indicate, dupã caz, datele care rezultã din hotãrâri ale instanţelor judecãtoreşti ori din actele prin care s-a dispus neînceperea urmãririi penale, clasarea, scoaterea de sub urmãrire penalã, încetarea urmãririi penale sau trimiterea în judecatã, precum şi datele bazate pe opinii şi interpretãri personale rezultate din activitãţile prevãzute la art. 1 alin. (1). Datele bazate pe opinii şi interpretãri personale rezultate din activitãţile prevãzute la art. 1 alin. (1) trebuie verificate la sursã înainte de a fi comunicate, iar gradul de acurateţe şi exactitate al acestor date trebuie întotdeauna menţionat cu ocazia comunicãrii.
(3) În situaţia în care au fost transmise date incorecte sau neactualizate, structurile/unitãţile M.A.I. au obligaţia sã îi informeze pe destinatarii respectivelor date asupra neconformitãţii acestora, cu menţionarea datelor care au fost modificate.
ART. 9
(1) La comunicarea datelor cu caracter personal cãtre alte autoritãţi sau instituţii publice, entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României sau în afara acestuia, Organizaţia Internaţionalã a Poliţiei Criminale - Interpol, Oficiul European de Poliţie - Europol sau alte instituţii internaţionale similare ori cãtre organisme de poliţie ale altor state, structurile/unitãţile M.A.I. atenţioneazã destinatarii asupra interdicţiei de a prelucra datele comunicate în alte scopuri decât cele specificate în cererea de comunicare.
(2) Prelucrarea datelor de cãtre destinatari în alte scopuri decât cele care au format obiectul cererii se poate realiza numai cu acordul structurilor/unitãţilor M.A.I. care le-au comunicat şi numai cu respectarea prevederilor art. 6 alin. (2)-(5) şi ale art. 7.
ART. 10
(1) Pentru realizarea activitãţilor de cercetare şi combatere a infracţiunilor, structurile/unitãţile M.A.I. pot interconecta sistemele de evidenţã a datelor cu caracter personal sau, dupã caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri diferite.
(2) În scopul prevãzut la alin. (1), interconectarea se poate realiza şi cu sistemele de evidenţã sau cu mijloacele automate de prelucrare a datelor cu caracter personal deţinute de alţi operatori.
(3) Interconectãrile prevãzute la alin. (1) şi (2) sunt permise numai în cazul efectuãrii actelor premergãtoare, al urmãririi penale sau al judecãrii unei infracţiuni în baza unei autorizãri emise de procurorul competent sã efectueze sau sã supravegheze, într-un caz determinat, efectuarea actelor premergãtoare sau urmãrirea penalã ori, în cazul judecãrii unei infracţiuni, de judecãtorul anume desemnat de la instanţa cãreia îi revine competenţa de a judeca fondul cauzei pentru care sunt prelucrate datele respective.
(4) Accesul direct sau printr-un serviciu de comunicaţii electronice la un sistem de evidenţã a datelor cu caracter personal care face obiectul interconectãrii, potrivit alin. (1), este permis numai în condiţiile legii şi cu respectarea prevederilor art. 1 alin. (1) şi ale art. 5-11.
(5) Interconectarea sistemelor de evidenţã a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal nu se realizeazã în cazul activitãţilor de prevenire a infracţiunilor, de menţinere şi de asigurare a ordinii publice.
CAP. VI
Drepturile persoanei vizate
ART. 11
(1) Structurile/unitãţile M.A.I. asigurã condiţiile de exercitare a drepturilor conferite de lege persoanei vizate, cu respectarea <>Legii nr. 677/2001 , cu modificãrile şi completãrile ulterioare, şi a prezentei legi.
(2) Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevãzute de <>Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, nu se aplicã pe perioada în care o asemenea mãsurã este necesarã pentru evitarea prejudicierii activitãţilor specifice de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, ca urmare a cunoaşterii de persoana vizatã a faptului cã datele sale cu caracter personal sunt prelucrate, sau este necesarã pentru protejarea persoanei vizate ori a drepturilor şi libertãţilor altor persoane, în cazul în care existã date şi informaţii cã aceste drepturi şi libertãţi sunt puse în pericol.
(3) În cazul aplicãrii excepţiilor de la exercitarea drepturilor persoanei vizate, prevãzute la alin. (2), acestea trebuie motivate în scris. Necomunicarea motivelor este posibilã numai în mãsura în care este necesarã bunei desfãşurãri a activitãţilor prevãzute la art. 1 alin. (1) sau pentru protejarea drepturilor şi libertãţilor altor persoane decât persoana vizatã.
(4) În toate situaţiile, persoana vizatã va fi informatã cu privire la dreptul de a se adresa Autoritãţii naţionale de supraveghere sau, dupã caz, instanţei de judecatã, care va decide dacã mãsurile luate de structurile/unitãţile M.A.I., conform prevederilor alin. (2), sunt întemeiate.
(5) În situaţia în care, în urma exercitãrii dreptului de acces sau a dreptului de intervenţie, rezultã cã datele cu caracter personal sunt inexacte, irelevante sau înregistrate în mod abuziv, acestea vor fi şterse sau rectificate prin anexarea unui document, încheiat în acest sens, la sistemul de evidenţã ale cãrui date cu caracter personal au suferit modificãri, deţinut de structurile/unitãţile M.A.I.
(6) Mãsurile prevãzute la alin. (5) se aplicã tuturor documentelor care au legãturã cu sistemul de evidenţã a datelor cu caracter personal. În cazul în care acestea nu sunt efectuate imediat, se va avea în vedere realizarea lor cel mai târziu la data prelucrãrii ulterioare a datelor cu caracter personal sau la o urmãtoare comunicare a acestora.
CAP. VII
Încheierea operaţiunilor de prelucrare a datelor cu caracter personal
ART. 12
(1) Datele cu caracter personal stocate în îndeplinirea activitãţilor prevãzute la art. 1 alin. (1) se şterg atunci când nu mai sunt necesare scopurilor pentru care au fost colectate.
(2) Înainte de ştergerea datelor cu caracter personal, potrivit alin. (1), şi dacã activitãţile prevãzute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoaşterea faptului cã datele cu caracter personal au fost colectate şi stocate, persoana vizatã trebuie informatã atunci când colectarea şi stocarea datelor s-au efectuat fãrã consimţãmântul sãu.
(3) În condiţiile prevãzute la alin. (2), informarea persoanei vizate se realizeazã de structurile/unitãţile M.A.I. care au colectat şi stocat datele cu caracter personal ale acesteia, în termen de 15 zile de la momentul în care activitãţile prevãzute la art. 1 alin. (1) nu mai pot fi prejudiciate sau, dupã caz, de la momentul comunicãrii cãtre aceste structuri/unitãţi ale M.A.I. a unei soluţii de neîncepere a urmãririi penale, clasare, scoatere de sub urmãrire penalã sau încetare a urmãririi penale.
(4) Prin excepţie de la prevederile alin. (1), datele cu caracter personal pot fi stocate şi dupã îndeplinirea scopurilor pentru care au fost colectate, dacã este necesarã pãstrarea acestora. Evaluarea necesitãţii stocãrii datelor dupã îndeplinirea scopurilor pentru care au fost colectate se realizeazã, în special, în urmãtoarele situaţii:
a) datele sunt necesare în vederea terminãrii urmãririi penale într-un caz determinat;
b) nu existã o hotãrâre judecãtoreascã definitivã;
c) nu a intervenit reabilitarea;
d) nu a intervenit prescripţia executãrii pedepsei;
e) nu a intervenit amnistia;
f) datele fac parte din categorii speciale de date, potrivit <>Legii nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
CAP. VIII
Securitatea datelor cu caracter personal
ART. 13
Structurile/unitãţile M.A.I. sunt obligate sã ia toate mãsurile necesare pentru a asigura securitatea tehnicã şi organizatoricã adecvatã a prelucrãrii datelor cu caracter personal, astfel încât sã previnã accesul, comunicarea sau distrugerea neautorizatã ori alterarea datelor. În acest scop, se au în vedere diferitele caracteristici ale sistemelor de evidenţã a datelor cu caracter personal şi conţinutul acestora.
CAP. IX
Dispoziţii finale
ART. 14
(1) Structurile/unitãţile M.A.I. care desfãşoarã activitãţile prevãzute la art. 1 alin. (1) au obligaţia de a elabora reguli, dacã acestea nu sunt stabilite prin prevederi legale exprese, cu privire la:
a) termenele de stocare a datelor cu caracter personal pe care le prelucreazã;
b) verificãrile periodice asupra datelor cu caracter personal pentru ca acestea sã fie exacte, actuale şi complete;
c) ştergerea datelor cu caracter personal.
(2) În lipsa unor prevederi legale exprese care sã stabileascã regulile prevãzute la alin. (1), structurile/unitãţile M.A.I. care desfãşoarã activitãţile prevãzute la art. 1 alin. (1) au obligaţia ca, în termen de 30 de zile de la data intrãrii în vigoare a prezentei legi, sã stabileascã aceste reguli, cu avizul Autoritãţii naţionale de supraveghere acordat în condiţiile legii.
ART. 15
Prevederile prezentei legi se completeazã cu dispoziţiile <>Legii nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
Aceastã lege a fost adoptatã de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicatã.
PREŞEDINTELE CAMEREI DEPUTAŢILOR
ROBERTA ALMA ANASTASE
PREŞEDINTELE SENATULUI
MIRCEA-DAN GEOANĂ
Bucureşti, 10 iunie 2009.
Nr. 238.
________
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
