Comunica experienta
MonitorulJuridic.ro
LEGE nr. 238 din 10 iunie 2009 (*republicata*) privind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului Administratiei si Internelor in activitatile de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice*)
EMITENT: PARLAMENTUL PUBLICAT: MONITORUL OFICIAL nr. 474 din 12 iulie 2012
--------
*) Republicatã în temeiul dispoziţiilor art. II din Legea nr. 81/2012 pentru modificarea şi completarea Legii nr. 238/2009 privind reglementarea prelucrãrii datelor cu caracter personal de cãtre structurile/unitãţile Ministerului Administraţiei şi Internelor în activitãţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, publicatã în Monitorul Oficial al României, Partea I, nr. 400 din 14 iunie 2012, dându-se textelor o nouã numerotare.
Legea nr. 238/2009 privind reglementarea prelucrãrii datelor cu caracter personal de cãtre structurile/unitãţile Ministerului Administraţiei şi Internelor în activitãţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice a fost publicatã în Monitorul Oficial al României, Partea I, nr. 405 din 15 iunie 2009.
CAP. I
Dispoziţii generale
ART. 1
(1) Prezenta lege reglementeazã prelucrarea automatã şi neautomatã a datelor cu caracter personal pentru realizarea activitãţilor de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice de cãtre structurile/unitãţile Ministerului Administraţiei şi Internelor, potrivit competenţelor acestora.
(2) Structurile/Unitãţile Ministerului Administraţiei şi Internelor, denumite în continuare structurile/unitãţile M.A.I., care desfãşoarã, potrivit competenţelor, activitãţile prevãzute la alin. (1), în calitate de operatori, dobândite în condiţiile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare, prelucreazã date cu caracter personal în exercitarea atribuţiilor legale.
(3) Prezenta lege nu se aplicã prelucrãrilor şi transferului de date cu caracter personal efectuate în îndeplinirea atribuţiilor legale de structurile/unitãţile M.A.I. în domeniul apãrãrii naţionale şi securitãţii naţionale, în limitele şi cu restricţiile stabilite de lege.
ART. 2
În înţelesul prezentei legi, termenii şi expresiile de mai jos au urmãtoarea semnificaţie:
a) interconectare - operaţiunea de a pune în legãturã datele cu caracter personal cuprinse într-un fişier, bazã de date sau sistem de evidenţã automat cu cele cuprinse într-unul sau mai multe fişiere, baze de date sau sisteme de evidenţã automate care sunt gestionate de operatori diferiţi sau de cãtre acelaşi operator, dar având scopuri diferite, similare sau corelate, dupã caz;
b) semnalare - setul de date introduse într-un sistem de evidenţã a datelor cu caracter personal referitoare la persoane sau bunuri cu privire la care au fost dispuse unele mãsuri, în condiţiile legii, în vederea realizãrii unui interes public, a respectãrii regimului liberei circulaţii a persoanelor şi bunurilor sau a asigurãrii ori menţinerii ordinii şi siguranţei publice;
c) blocare - marcarea unor date cu caracter personal stocate, în scopul limitãrii prelucrãrii pe viitor;
d) atribuirea de referinţe - marcarea unor date cu caracter personal stocate, fãrã a avea ca scop limitarea prelucrãrii lor ulterioare;
e) transformarea în date anonime - modificarea datelor cu caracter personal, astfel încât detaliile privind circumstanţele personale sau materiale sã nu mai permitã atribuirea acestora unei persoane fizice identificate sau identificabile sau atribuirea sã fie posibilã doar în condiţiile unei investiţii disproporţionate de timp, costuri şi forţã de muncã;
f) consimţãmântul persoanei vizate - orice manifestare de voinţã, liberã, specificã şi informatã, prin care persoana vizatã acceptã sã fie prelucrate datele cu caracter personal care o privesc;
g) evidenţã pasivã - fişier sau bazã de date cu caracter personal constituit în scopul accesãrii limitate şi ulterior ştergerii datelor stocate din sistemul de evidenţã.
ART. 3
(1) Pentru realizarea activitãţilor prevãzute la art. 1 alin. (1), structurile/unitãţile M.A.I. constituie, organizeazã şi deţin, potrivit atribuţiilor legale, sisteme de evidenţã şi utilizeazã mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, în condiţiile legii.
(2) Structurile/Unitãţile M.A.I. utilizeazã sisteme de evidenţã şi/sau mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, cu respectarea drepturilor omului şi aplicarea principiilor legalitãţii, necesitãţii, confidenţialitãţii, proporţionalitãţii şi numai dacã, prin utilizarea acestora, este asiguratã protecţia datelor prelucrate.
(3) Înaintea introducerii unui sistem de evidenţã sau a unui mijloc automat/neautomat de prelucrare a datelor cu caracter personal care este susceptibil sã prezinte anumite riscuri privind datele prelucrate, structurile/unitãţile M.A.I. consultã Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal, denumitã în continuare Autoritatea naţionalã de supraveghere, care, dacã este cazul, stabileşte garanţii adecvate, potrivit legii.
CAP. II
Notificarea prelucrãrilor datelor cu caracter personal
ART. 4
(1) Prelucrãrile de date cu caracter personal sunt notificate Autoritãţii naţionale de supraveghere. Notificarea se efectueazã anterior oricãrei prelucrãri, în condiţiile legii.
(2) Notificarea prelucrãrii automate sau neautomate a datelor cu caracter personal prin sisteme de evidenţã a datelor cu caracter personal, realizatã potrivit legii de cãtre structurile/unitãţile M.A.I., cuprinde, pe lângã informaţiile prevãzute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, în mod corespunzãtor şi informaţii referitoare la natura fiecãrui sistem de evidenţã a datelor cu caracter personal care are legãturã cu prelucrarea, precum şi la destinatarii cãrora le sunt comunicate datele.
(3) Notificarea prelucrãrii datelor cu caracter personal prin sisteme de evidenţã constituite în anumite cazuri numai pentru perioada necesarã realizãrii unor activitãţi de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice se face cu respectarea condiţiilor prevãzute la alin. (2), numai dacã prelucrarea nu a fãcut obiectul unei notificãri anterioare.
CAP. III
Colectarea datelor cu caracter personal
ART. 5
(1) Pentru realizarea activitãţilor prevãzute la art. 1 alin. (1), structurile/unitãţile M.A.I. colecteazã date cu caracter personal, cu sau fãrã consimţãmântul persoanei vizate, în condiţiile legii.
(2) Colectarea datelor cu caracter personal fãrã consimţãmântul persoanei vizate pentru realizarea activitãţilor prevãzute la art. 1 alin. (1) se face numai dacã aceastã mãsurã este necesarã pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.
(3) Colectarea datelor cu caracter personal pentru realizarea activitãţilor prevãzute la art. 1 alin. (1) se efectueazã de personalul structurilor/unitãţilor M.A.I. numai în scopul îndeplinirii atribuţiilor de serviciu.
(4) Colectarea datelor cu caracter personal în scopurile prevãzute la art. 1 alin. (1) trebuie sã fie limitatã la datele necesare pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.
(5) Colectarea de date privind persoana fizicã exclusiv datoritã faptului cã aceasta are o anumitã origine rasialã, anumite convingeri religioase ori politice, un anumit comportament sexual sau datoritã apartenenţei acesteia la anumite mişcãri ori organizaţii care nu contravin legii este interzisã.
(6) Prin excepţie de la prevederile alin. (5), structurile/unitãţile M.A.I. colecteazã şi prelucreazã, cu respectarea garanţiilor prevãzute de Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, date exclusiv în baza acestor criterii numai dacã, într-un caz determinat, sunt necesare pentru efectuarea actelor premergãtoare sau a urmãririi penale, ca urmare a sãvârşirii unei infracţiuni. Prevederile art. 4 se aplicã în mod corespunzãtor.
(7) Prevederile alin. (6) nu aduc atingere dispoziţiilor legale care reglementeazã obligaţia autoritãţilor publice de a respecta şi de a ocroti viaţa intimã, familialã şi privatã.
CAP. IV
Stocarea datelor cu caracter personal
ART. 6
(1) Pentru realizarea scopurilor activitãţilor prevãzute la art. 1 alin. (1), structurile/unitãţile M.A.I. stocheazã numai acele date cu caracter personal care sunt exacte, complete şi necesare îndeplinirii atribuţiilor legale sau obligaţiilor rezultate din instrumente juridice internaţionale la care România este parte.
(2) Stocarea diferitelor categorii de date cu caracter personal se realizeazã prin ordonarea acestora în funcţie de gradul lor de acurateţe şi exactitate. Datele cu caracter personal bazate pe opinii şi interpretãri personale rezultate din activitãţile prevãzute la art. 1 alin. (1) sunt ordonate în mod distinct.
(3) Structurile/Unitãţile M.A.I. au obligaţia de a verifica periodic calitatea datelor prevãzute la alin. (2), conform regulilor stabilite potrivit art. 31 alin. (1) lit. b).
(4) În situaţia în care datele cu caracter personal stocate se dovedesc a fi inexacte sau incomplete, structurile/unitãţile M.A.I. care le deţin au obligaţia sã le şteargã, distrugã, modifice, actualizeze sau, dupã caz, sã le completeze.
(5) Structurile/Unitãţile M.A.I. stocheazã datele cu caracter personal colectate în scopuri administrative separat de datele cu caracter personal colectate în scopurile prevãzute la art. 1 alin. (1).
ART. 7
(1) Datele cu caracter personal se blocheazã atunci când existã motive întemeiate sã se considere cã ştergerea lor ar putea afecta drepturile, libertãţile şi interesele legitime ale persoanei vizate.
(2) Datele blocate se prelucreazã doar în scopul care a împiedicat ştergerea lor.
(3) Datele blocate se şterg de îndatã ce nu mai sunt necesare scopului prevãzut la alin. (2).
ART. 8
Structurile/Unitãţile M.A.I. prelucreazã suplimentar date cu caracter personal, într-un alt scop decât cel pentru care datele au fost colectate, dacã sunt îndeplinite urmãtoarele condiţii:
a) prelucrarea este compatibilã cu scopul în care au fost colectate datele;
b) scopul în care urmeazã a fi prelucrate suplimentar datele cu caracter personal de cãtre structurile/unitãţile M.A.I. sau entitãţile cãrora urmeazã sã le fie comunicate datele se încadreazã în atribuţiile sau, dupã caz, obligaţiile ce le revin potrivit legii;
c) prelucrarea este necesarã şi proporţionalã în raport cu noul scop.
CAP. V
Comunicarea datelor cu caracter personal
ART. 9
(1) Comunicarea datelor cu caracter personal între structurile/unitãţile M.A.I. se face numai în cazul în care este necesarã pentru exercitarea competenţelor şi îndeplinirea atribuţiilor legale ce le revin.
(2) Comunicarea de date cu caracter personal cãtre alte autoritãţi sau instituţii publice se poate efectua numai în urmãtoarele situaţii:
a) în baza unei prevederi legale exprese ori cu autorizarea Autoritãţii naţionale de supraveghere;
b) când datele sunt indispensabile îndeplinirii atribuţiilor legale ale destinatarului şi numai dacã scopul în care se face colectarea sau prelucrarea de cãtre destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de structurile/unitãţile M.A.I., iar comunicarea datelor de structurile/unitãţile M.A.I. se realizeazã în conformitate cu atribuţiile legale ale acestora.
(3) Prin excepţie de la prevederile alin. (2), comunicarea datelor cu caracter personal cãtre alte autoritãţi sau instituţii publice este permisã în urmãtoarele situaţii:
a) persoana vizatã şi-a exprimat consimţãmântul expres şi neechivoc pentru comunicarea datelor sale;
b) comunicarea este necesarã pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia.
(4) Comunicarea datelor cu caracter personal cãtre entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României se efectueazã numai dacã existã o obligaţie legalã expresã sau cu autorizarea Autoritãţii naţionale de supraveghere.
(5) Prin excepţie de la prevederile alin. (4), comunicarea datelor cu caracter personal cãtre entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României sau în afara acestuia este permisã dacã persoana vizatã şi-a dat consimţãmântul în mod expres şi neechivoc pentru comunicarea datelor sale sau dacã este necesarã pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia sau a unei alte persoane ameninţate.
ART. 10
(1) Datele cu caracter personal deţinute de structurile/unitãţile M.A.I. potrivit scopurilor prevãzute la art. 1 alin. (1) pot fi transferate urmãtorilor destinatari:
a) autoritãţilor poliţieneşti, judiciare sau altor autoritãţi competente din statele membre ori organismelor sau instituţiilor Uniunii Europene cu atribuţii în domeniul cooperãrii poliţieneşti ori judiciare în materie penalã;
b) Organizaţiei Internaţionale a Poliţiei Criminale - Interpol sau altor instituţii internaţionale similare;
c) organismelor de poliţie din state terţe.
(2) Transferul datelor cu caracter personal prevãzut la alin. (1) se realizeazã în una dintre urmãtoarele situaţii:
a) existã o prevedere legalã expresã în legislaţia naţionalã sau într-un tratat ratificat de România;
b) existã prevederi legale care reglementeazã cooperarea poliţieneascã sau cooperarea judiciarã internaţionalã în materie penalã;
c) când transferul este necesar pentru prevenirea unui pericol grav şi iminent asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia, precum şi pentru combaterea unei infracţiuni grave prevãzute de lege, cu respectarea legii române.
ART. 11
(1) Cererile pentru comunicarea datelor cu caracter personal adresate structurilor/unitãţilor M.A.I. de cãtre alte structuri/unitãţi ale M.A.I., alte autoritãţi sau instituţii publice, entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României sau în afara acestuia şi organisme de poliţie ale altor state trebuie sã conţinã datele de identificare a solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte. Cererile care nu conţin aceste date şi nu sunt conforme prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte se resping.
(2) Înainte de comunicare, structurile/unitãţile M.A.I. verificã dacã datele solicitate sunt exacte, complete şi actualizate. În cazul în care se constatã cã nu sunt corecte, complete sau actualizate, datele nu se comunicã. În comunicãri trebuie indicate, dupã caz, datele care rezultã din hotãrâri ale instanţelor judecãtoreşti ori din actele prin care s-a dispus neînceperea urmãririi penale, clasarea, scoaterea de sub urmãrire penalã, încetarea urmãririi penale sau trimiterea în judecatã, precum şi datele bazate pe opinii şi interpretãri personale rezultate din activitãţile prevãzute la art. 1 alin. (1). Datele bazate pe opinii şi interpretãri personale rezultate din activitãţile prevãzute la art. 1 alin. (1) trebuie verificate la sursã înainte de a fi comunicate, iar gradul de acurateţe şi exactitate al acestor date trebuie întotdeauna menţionat cu ocazia comunicãrii.
(3) În situaţia în care au fost transmise date incorecte sau neactualizate, structurile/unitãţile M.A.I. au obligaţia sã îi informeze pe destinatarii respectivelor date asupra neconformitãţii acestora, cu menţionarea datelor care au fost modificate sau, dacã este cazul, cu precizarea cã datele transmise trebuie rectificate, şterse ori blocate.
(4) În situaţia în care se constatã cã au fost transmise date cu caracter personal în mod ilegal, structurile/unitãţile M.A.I. au obligaţia de a-i informa pe destinatarii acestor date, cu precizarea cã datele transmise trebuie şterse de îndatã.
(5) În situaţia în care se constatã cã structurilor/unitãţilor M.A.I. le-au fost transmise date cu caracter personal incorecte sau neactualizate, datele se rectificã, se şterg sau, dupã caz, se blocheazã, în condiţiile legii. Dacã structurilor/unitãţilor M.A.I. le sunt transmise în mod eronat sau ilegal astfel de date, acestea se şterg sau, dupã caz, se blocheazã de îndatã. Entitatea care a transmis datele este informatã cu privire la mãsura adoptatã şi motivul adoptãrii acesteia.
(6) În cazul în care structurilor/unitãţilor M.A.I. le sunt transmise, potrivit legii, date cu caracter personal nesolicitate, acestea au obligaţia de a verifica dacã datele sunt necesare în scopul pentru care au fost transmise. Datele care nu sunt necesare scopului se şterg sau, dupã caz, se blocheazã de îndatã. Entitatea care a transmis datele este informatã cu privire la mãsura adoptatã şi motivul adoptãrii acesteia.
ART. 12
(1) La comunicarea datelor cu caracter personal cãtre alte autoritãţi sau instituţii publice, entitãţi de drept privat care îşi desfãşoarã activitatea pe teritoriul României sau în afara acestuia, ori cãtre destinatarii prevãzuţi la art. 10 alin. (1), structurile/unitãţile M.A.I. atenţioneazã destinatarii asupra interdicţiei de a prelucra datele comunicate în alte scopuri decât cele specificate în cererea de comunicare.
(2) La comunicarea datelor cu caracter personal potrivit alin. (1) i se indicã destinatarului limitãri ale prelucrãrii, dacã este cazul, şi termene de pãstrare adecvate şi se precizeazã obligaţia de a şterge datele cu caracter personal transmise la expirarea termenului indicat sau, dacã este cazul, de a proceda la blocarea acestora. Termenele de pãstrare comunicate nu pot depãşi termenele stabilite prin prevederi legale ori, dupã caz, cele stabilite de structurile/unitãţile M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 31, pentru acele categorii de date cu caracter personal pe care le deţin şi urmeazã sã facã obiectul comunicãrii.
(3) În cazul în care se comunicã date cu caracter personal destinatarilor prevãzuţi la art. 10 alin. (1) lit. a), pot fi comunicate limitãri ale prelucrãrii doar dacã acestea sunt stabilite de lege, iar termenele de pãstrare sunt cele stabilite prin prevederi legale ori, dupã caz, de structurile/unitãţile M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 31.
(4) Prelucrarea datelor de cãtre destinatari în alte scopuri decât cele care au format obiectul cererii se poate realiza numai cu acordul structurilor/unitãţilor M.A.I. care le-au comunicat şi numai cu respectarea prevederilor art. 9 alin. (2) -(5) şi ale art. 10.
(5) Structurile/Unitãţile M.A.I. pot solicita destinatarilor prevãzuţi la alin. (1), cãrora le-au fost comunicate date cu caracter personal, informaţii cu privire la modul în care acestea au fost prelucrate.
ART. 13
(1) Pentru datele cu caracter personal comunicate de cãtre alte autoritãţi competente sau entitãţi de drept privat din afara teritoriului României, în cazul în care este precizat un termen de pãstrare a datelor, structurile/unitãţile M.A.I. au obligaţia de a şterge ori, dupã caz, de a bloca datele la expirarea termenului de pãstrare a datelor indicat. În cazul în care nu este precizat un termen de pãstrare a datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal, stabilite pentru acele categorii de date de cãtre structurile/unitãţile M.A.I., potrivit dispoziţiilor art. 31.
(2) În cazul datelor cu caracter personal prevãzute la alin. (1), structurile/unitãţile M.A.I. au obligaţia de a verifica periodic, o datã la 3 ani, necesitatea stocãrii acestora.
(3) Datele cu caracter personal a cãror stocare nu mai este necesarã se şterg sau, dupã caz, se blocheazã, chiar dacã nu s-a împlinit termenul precizat de entitatea care le-a transmis ori cel prevãzut de regulile stabilite potrivit dispoziţiilor art. 31.
(4) Dispoziţiile alin. (1) nu se aplicã dacã la momentul expirãrii termenului de pãstrare a datelor, indicat de autoritatea competentã sau entitatea de drept privat din afara teritoriului României, datele cu caracter personal sunt în continuare necesare pentru efectuarea de acte premergãtoare în vederea începerii urmãririi penale, pentru desfãşurarea urmãririi penale sau pentru executarea unei pedepse.
ART. 14
Datele cu caracter personal comunicate de cãtre autoritãţile competente ale unui stat membru al Uniunii Europene, denumit în continuare stat membru, pot fi prelucrate suplimentar de cãtre structurile/unitãţile M.A.I., în alt scop decât cel pentru care au fost transmise, în una dintre urmãtoarele situaţii:
a) pentru prevenirea, constatarea, cercetarea sau urmãrirea penalã a infracţiunilor ori executarea pedepselor, altele decât cele pentru care au fost comunicate;
b) pentru derularea altor proceduri judiciare sau administrative direct legate de prevenirea, constatarea, cercetarea ori urmãrirea penalã a infracţiunilor ori executarea pedepselor;
c) pentru prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei publice;
d) în orice alt scop, cu consimţãmântul prealabil al statului membru care transmite sau cu consimţãmântul persoanei vizate, potrivit legii.
ART. 15
(1) Datele cu caracter personal comunicate de cãtre autoritãţile competente ale unui alt stat membru pot fi transferate de structurile/unitãţile M.A.I. cãtre autoritãţi competente dintr-un stat care nu este membru al Uniunii Europene, denumit în continuare stat terţ, sau cãtre organisme internaţionale, numai dacã sunt îndeplinite, cumulativ, urmãtoarele condiţii:
a) se impune pentru prevenirea, constatarea, cercetarea sau urmãrirea penalã a infracţiunilor ori executarea pedepselor;
b) datele cu caracter personal sunt comunicate organismului internaţional ori autoritãţii statului terţ competente în prevenirea, constatarea, cercetarea sau urmãrirea penalã a infracţiunilor sau pentru executarea pedepselor;
c) existã acordul statului membru care a comunicat datele pentru transfer;
d) statul terţ sau organismul internaţional în cauzã asigurã un nivel corespunzãtor de protecţie pentru prelucrarea de date urmãritã.
(2) Datele cu caracter personal pot fi comunicate în condiţiile prevãzute la alin. (1), fãrã acordul statului membru, numai dacã transferul de date este strict necesar pentru prevenirea unui pericol grav şi iminent la adresa ordinii şi siguranţei publice a unui stat membru ori a unui stat terţ sau a intereselor fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obţinut în timp util.
(3) În situaţia prevãzutã la alin. (2), unitatea/structura M.A.I. care efectueazã comunicarea de date cu caracter personal are obligaţia de a informa de îndatã autoritatea competentã din statul membru care a furnizat datele.
(4) Prin excepţie de la prevederile alin. (1) lit. d), datele cu caracter personal pot fi comunicate cãtre autoritãţile competente dintr-un stat terţ sau cãtre organismele internaţionale, cu respectarea dispoziţiilor art. 30 lit. d) ori e) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare.
ART. 16
(1) Datele cu caracter personal comunicate de cãtre autoritãţile competente ale unui alt stat membru pot fi transferate cãtre entitãţi de drept privat dintr-un stat membru, altul decât cel care a furnizat datele, numai dacã sunt îndeplinite, cumulativ, urmãtoarele condiţii:
a) autoritatea competentã din statul membru care a comunicat datele şi-a dat acordul pentru efectuarea prelucrãrii;
b) niciun interes specific legitim al persoanei vizate nu împiedicã transmiterea;
c) în situaţii specifice, comunicarea este esenţialã pentru autoritatea competentã care transmite date unei entitãţi private.
(2) Cazurile specifice pentru care se considerã îndeplinitã condiţia prevãzutã la alin. (1) lit. c) sunt determinate de urmãtoarele situaţii:
a) îndeplinirea unei obligaţii prevãzute de lege în sarcina entitãţii private;
b) prevenirea, constatarea, cercetarea sau urmãrirea penalã a infracţiunilor ori executarea pedepselor;
c) prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei publice;
d) prevenirea unei vãtãmãri grave a drepturilor persoanei.
(3) Structurile/Unitãţile M.A.I. au obligaţia de a informa entitãţile de drept privat cãrora le sunt comunicate datele potrivit alin. (1) cu privire la scopurile pentru care, în mod exclusiv, pot fi utilizate datele cu caracter personal comunicate.
ART. 17
La cerere, structurile/unitãţile M.A.I. informeazã autoritãţile competente ale unui alt stat membru care au transmis date cu caracter personal cu privire la modul în care acestea au fost prelucrate, în termen de 15 zile de la înregistrarea solicitãrii.
ART. 18
(1) Pentru realizarea activitãţilor de cercetare şi combatere a infracţiunilor, structurile/unitãţile M.A.I. pot interconecta sistemele de evidenţã a datelor cu caracter personal sau, dupã caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri diferite.
(2) În scopul prevãzut la alin. (1), interconectarea sistemelor de evidenţã a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 3, se poate realiza şi cu sistemele de evidenţã ori cu mijloacele automate de prelucrare a datelor cu caracter personal deţinute de alţi operatori, autoritãţi şi instituţii publice naţionale.
(3) Interconectãrile prevãzute la alin. (1) şi (2) sunt posibile numai cu acordul prealabil al Autoritãţii naţionale de supraveghere. În cazul obţinerii acordului prealabil, structura/unitatea M.A.I. notificã prelucrarea Autoritãţii naţionale de supraveghere, în condiţiile prevãzute la art. 4.
(4) În scopul prevãzut la alin. (1), interconectarea sistemelor de evidenţã a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 3, se poate realiza şi cu sistemele de evidenţã sau cu mijloacele automate de prelucrare a datelor cu caracter personal deţinute de alţi operatori, entitãţi de drept privat.
(5) Interconectãrile prevãzute la alin. (4) sunt permise numai în cazul efectuãrii actelor premergãtoare, al urmãririi penale sau al judecãrii unei infracţiuni în baza unei autorizãri emise de procurorul competent sã efectueze ori sã supravegheze, într-un caz determinat, efectuarea actelor premergãtoare sau urmãrirea penalã ori, în cazul judecãrii unei infracţiuni, de judecãtorul anume desemnat de la instanţa cãreia îi revine competenţa de a judeca fondul cauzei pentru care sunt prelucrate datele respective.
(6) Accesul direct sau printr-un serviciu de comunicaţii electronice la un sistem de evidenţã a datelor cu caracter personal care face obiectul interconectãrii, potrivit alin. (1), este permis numai în condiţiile legii şi cu respectarea prevederilor art. 1 alin. (1) şi ale art. 6-24.
ART. 19
(1) În cazul activitãţilor de prevenire a infracţiunilor, de menţinere şi de asigurare a ordinii publice, sistemele de evidenţã a datelor cu caracter personal sau mijloacele automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 3, pot fi interconectate cu:
a) Registrul naţional de evidenţã a persoanelor;
b) Registrul naţional de evidenţã a paşapoartelor simple;
c) Registrul naţional de evidenţã a permiselor de conducere şi a vehiculelor înmatriculate.
(2) În cazul activitãţilor prevãzute la alin. (1), structurile/ unitãţile M.A.I. pot interconecta sistemele de evidenţã a datelor cu caracter personal sau, dupã caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri similare ori corelate.
(3) Interconectãrile prevãzute la alin. (1) şi (2) se notificã Autoritãţii naţionale de supraveghere prin modificarea/ completarea notificãrii sau depunerea unei noi notificãri.
(4) În cazul activitãţilor prevãzute la alin. (1), structurile/ unitãţile M.A.I. pot interconecta sistemele de evidenţã a datelor cu caracter personal sau, dupã caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri diferite, numai cu acordul prealabil al Autoritãţii naţionale de supraveghere. În cazul obţinerii acordului, structurile/unitãţile M.A.I. notificã prelucrarea datelor Autoritãţii naţionale de supraveghere prin modificarea/completarea notificãrii sau depunerea unei noi notificãri.
(5) Dispoziţiile alin. (1)-(4) sunt aplicabile şi în cazul activitãţilor de control la frontierã, executate, în condiţiile legii, de structura specializatã a M.A.I, care impun interconectarea sistemelor de evidenţã a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit dispoziţiilor art. 3.
ART. 20
(1) Structurile/Unitãţile M.A.I. pot configura sistemele de evidenţã a datelor cu caracter personal sau, dupã caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri corelate sau diferite, astfel încât semnalãrile cu privire la persoane sau bunuri sã fie accesibile în orice sistem ori mijloc de prelucrare.
(2) Sistemele de evidenţã a datelor cu caracter personal sau, dupã caz, mijloacele automate de prelucrare a datelor cu caracter personal deţinute de structurile/unitãţile M.A.I. se configureazã astfel încât niciun utilizator sã nu aibã acces decât la datele cu caracter personal strict necesare desfãşurãrii atribuţiilor de serviciu. Structurile/Unitãţile M.A.I. au obligaţia de a stabili categoriile de date la care are acces fiecare utilizator, în scopul îndeplinirii atribuţiilor de serviciu.
ART. 21
(1) În cazul sistemelor de evidenţã constituite potrivit scopurilor prevãzute la art. 1 alin. (1), structurile/unitãţile M.A.I. pot permite autoritãţilor, instituţiilor sau organizaţiilor prevãzute la art. 10 accesul direct la sistemele gestionate, doar în condiţii care sã asigure securitatea datelor cu caracter personal, în urmãtoarele situaţii:
a) în baza unui tratat ratificat de România;
b) în cadrul activitãţii de cooperare poliţieneascã şi judiciarã în materie penalã efectuatã în cadrul Uniunii Europene.
(2) Prelucrãrile efectuate potrivit alin. (1) se notificã Autoritãţii naţionale de supraveghere în condiţiile art. 4.
(3) În situaţia prevãzutã la alin. (1), prelucrarea datelor cu caracter personal de cãtre autoritãţile, instituţiile sau organizaţiile prevãzute la art. 10 se permite doar pentru scopul stabilit prin tratat ori, dupã caz, printr-un instrument juridic al Uniunii Europene.
ART. 22
(1) În situaţiile prevãzute la art. 18 alin. (1), structurile/unitãţile M.A.I. dispun mãsurile necesare pentru ca toate prelucrãrile de date cu caracter personal sã fie înregistrate în sistem într-un fişier de acces, în scopul monitorizãrii legalitãţii efectuãrii prelucrãrilor.
(2) Sistemele de evidenţã sau mijloacele automate de prelucrare a datelor cu caracter personal gestionate de cãtre structurile/unitãţile M.A.I. trebuie sã fie configurate astfel încât sã genereze fişierele de acces şi în situaţia în care structurilor/unitãţilor M.A.I. li se permite accesul direct în sistemele de evidenţã gestionate de autoritãţile, instituţiile sau organizaţiile prevãzute la art. 10.
(3) Fişierele de acces trebuie sã cuprindã cel puţin data, ora exactã, motivul prelucrãrii, datele de identificare a autoritãţii, instituţiei sau, dupã caz, a organizaţiei care a efectuat prelucrarea, precum şi codul de identificare a utilizatorului care a efectuat prelucrarea. Dacã este cazul, fişierele de acces pot conţine şi datele cu caracter personal care au fãcut obiectul prelucrãrii.
(4) Fişierele de acces pot fi utilizate doar în scopul verificãrii legalitãţii prelucrãrii sau pentru asigurarea securitãţii datelor cu caracter personal.
ART. 23
La cerere, structurile/unitãţile M.A.I. comunicã, în termen de 15 zile, autoritãţilor competente în domeniul protecţiei datelor cu caracter personal din afara teritoriului României, înregistrãrile referitoare la prelucrãrile efectuate în sistemele de evidenţã gestionate de entitãţile din statul a cãrui autoritate a formulat cererea.
CAP. VI
Drepturile persoanei vizate
ART. 24
(1) Structurile/Unitãţile M.A.I. asigurã condiţiile de exercitare a drepturilor conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu modificãrile şi completãrile ulterioare, şi a prezentei legi.
(2) Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevãzute de Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, nu se aplicã pe perioada în care o asemenea mãsurã este necesarã pentru evitarea prejudicierii activitãţilor specifice de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, ca urmare a cunoaşterii de persoana vizatã a faptului cã datele sale cu caracter personal sunt prelucrate, sau este necesarã pentru protejarea persoanei vizate ori a drepturilor şi libertãţilor altor persoane, în cazul în care existã date şi informaţii cã aceste drepturi şi libertãţi sunt puse în pericol.
(3) În cazul aplicãrii excepţiilor de la exercitarea drepturilor persoanei vizate, prevãzute la alin. (2), acestea trebuie motivate în scris. Necomunicarea motivelor este posibilã numai în mãsura în care este necesarã bunei desfãşurãri a activitãţilor prevãzute la art. 1 alin. (1) sau pentru protejarea drepturilor şi libertãţilor altor persoane decât persoana vizatã.
(4) În toate situaţiile, persoana vizatã va fi informatã cu privire la dreptul de a se adresa Autoritãţii naţionale de supraveghere sau, dupã caz, instanţei de judecatã, care va decide dacã mãsurile luate de structurile/unitãţile M.A.I., conform prevederilor alin. (2), sunt întemeiate.
(5) În situaţia în care, în urma exercitãrii dreptului de acces sau a dreptului de intervenţie, rezultã cã datele cu caracter personal sunt inexacte, irelevante sau înregistrate în mod abuziv, acestea vor fi şterse sau rectificate prin anexarea unui document, încheiat în acest sens, la sistemul de evidenţã ale cãrui date cu caracter personal au suferit modificãri, deţinut de structurile/unitãţile M.A.I.
(6) Mãsurile prevãzute la alin. (5) se aplicã tuturor documentelor care au legãturã cu sistemul de evidenţã a datelor cu caracter personal. În cazul în care acestea nu sunt efectuate imediat, se va avea în vedere realizarea lor cel mai târziu la data prelucrãrii ulterioare a datelor cu caracter personal sau la o urmãtoare comunicare a acestora.
(7) În situaţia în care structurile/unitãţile M.A.I. nu pot da curs cererilor formulate în exercitarea dreptului de intervenţie în scopul rectificãrii, ştergerii ori, dupã caz, blocãrii datelor cu caracter personal, transmit persoanei vizate un rãspuns scris în care sunt menţionate motivele care stau la baza imposibilitãţii soluţionãrii solicitãrii, precum şi faptul cã aceasta are dreptul de a se adresa Autoritãţii naţionale de supraveghere sau, dupã caz, instanţei de judecatã.
ART. 25
(1) În cazul în care structurile/unitãţile M.A.I. formuleazã cereri pentru comunicarea datelor cu caracter personal adresate unor autoritãţi competente ori entitãţi de drept privat din afara teritoriului României, pot solicita ca persoana vizatã sã nu fie informatã cu privire la prelucrare numai dacã sunt aplicabile dispoziţiile art. 24 alin. (2). La încetarea motivelor pentru care s-a formulat o astfel de solicitare, structurile/unitãţile M.A.I. informeazã în scris autoritatea competentã ori entitatea de drept privat din afara teritoriului României cu privire la faptul cã persoana vizatã, ale cãrei date cu caracter personal au fost comunicate, poate fi informatã cu privire la aceastã prelucrare.
(2) În cazul în care autoritãţile competente ale unui stat membru solicitã, cu ocazia comunicãrilor de date cu caracter personal de cãtre structurile/unitãţile M.A.I., ca persoana vizatã sã nu fie informatã, structurile/unitãţile M.A.I. dispun informarea persoanei vizate doar cu consimţãmântul autoritãţii competente solicitante.
ART. 26
În situaţia în care cererea persoanei vizate în contextul prelucrãrii datelor cu caracter personal se referã la o prelucrare efectuatã de cãtre o autoritate competentã ori entitate de drept privat din afara teritoriului României în sistemele de evidenţã gestionate de structurile/unitãţile M.A.I., prin derogare de la prevederile art. 13 alin. (3), ale art. 14 alin. (3) şi ale art. 15 alin. (4) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, i se rãspunde solicitantului cât mai curând posibil, dar nu mai târziu de 60 de zile de la data primirii cererii. În acest termen, structurile/unitãţile M.A.I. solicitã informaţii autoritãţii competente ori entitãţii de drept privat din afara teritoriului României care a efectuat prelucrarea.
ART. 27
(1) În cazul în care exactitatea unor date cu caracter personal este contestatã de persoana vizatã, iar exactitatea sau inexactitatea datelor respective nu se poate stabili cu certitudine, acestora li se pot atribui referinţe. La cererea persoanei vizate, atribuirea de referinţe este obligatorie.
(2) Datele cu caracter personal cãrora le-au fost atribuite referinţe nu pot fi comunicate decât în scopul stabilirii corectitudinii acestora.
(3) Referinţele atribuite potrivit alin. (1) pot fi înlãturate în unul dintre urmãtoarele cazuri:
a) la solicitarea ori cu acordul persoanei vizate, atunci când exactitatea sau, dupã caz, inexactitatea datelor cu caracter personal a fost stabilitã;
b) atunci când existã o hotãrâre a instanţei de judecatã sau autorizarea Autoritãţii naţionale de supraveghere.
ART. 28
(1) Structurile/Unitãţile M.A.I., în calitate de operatori, rãspund pentru prejudiciul cauzat persoanei vizate în urma unei prelucrãri de date cu caracter personal, chiar şi în situaţia în care prejudiciul a fost cauzat prin prelucrarea, în condiţiile legii, a unor date cu caracter personal inexacte furnizate de o autoritate competentã a unui stat membru.
(2) În situaţia în care structurile/unitãţile M.A.I. sunt obligate, în condiţiile legii, la plata unor despãgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrãrii unor date cu caracter personal inexacte furnizate de o autoritate competentã a unui stat membru, acestea sunt obligate sã dispunã mãsurile necesare pentru recuperarea sumelor plãtite ca despãgubire de la autoritatea care a furnizat datele respective.
(3) Pentru a se asigura îndeplinirea obligaţiei prevãzute la alin. (2), structurile/unitãţile M.A.I., care au plãtit despãgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrãrii unor date cu caracter personal inexacte, informeazã autoritatea competentã din statul membru care a furnizat aceste date şi solicitã rambursarea sumei plãtite ca despãgubire. Cu aceastã ocazie, structurile/unitãţile M.A.I. comunicã faptul cã prejudiciul a fost cauzat exclusiv ca urmare a prelucrãrii, în condiţiile legii, a datelor inexacte furnizate de autoritatea competentã din statul membru, şi nu din culpa structurii/unitãţii M.A.I. care a primit datele cu caracter personal şi anexeazã documente din care sã rezulte:
a) cã structura/unitatea M.A.I. a fost obligatã la plata despãgubirii pentru prejudiciile cauzate persoanei vizate şi cã a plãtit o sumã de bani;
b) cã datele cu caracter personal ale persoanei vizate provin de la aceastã autoritate competentã din statul membru;
c) datele de identificare a contului în care urmeazã a fi virate sumele de bani.
(4) În situaţia în care structurilor/unitãţilor M.A.I. li se solicitã de cãtre autoritãţi competente din statele membre rambursarea unor sume plãtite de acestea ca despãgubiri pentru prejudicii cauzate persoanelor vizate ca urmare a prelucrãrii unor date cu caracter personal inexacte furnizate de structurile/unitãţile M.A.I., înainte de plata sumelor solicitate, structurile/unitãţile M.A.I. trebuie sã verifice dacã:
a) prejudiciul a fost cauzat exclusiv ca urmare a prelucrãrii datelor inexacte furnizate în condiţiile indicate de structura/unitatea M.A.I., şi nu din culpa autoritãţii competente solicitante;
b) solicitarea este însoţitã de documente din care sã rezulte cã autoritatea competentã din statul membru a fost obligatã la plata despãgubirii pentru prejudiciile cauzate persoanei vizate ca urmare a furnizãrii de cãtre structurile/unitãţile M.A.I. a unor informaţii inexacte şi cã a plãtit o sumã de bani.
CAP. VII
Încheierea operaţiunilor de prelucrare a datelor cu caracter personal
ART. 29
(1) Datele cu caracter personal stocate în îndeplinirea activitãţilor prevãzute la art. 1 alin. (1) se şterg sau se transformã în date anonime atunci când nu mai sunt necesare scopurilor pentru care au fost colectate ori, dupã caz, se blocheazã, în condiţiile legii. În situaţii justificate, datele pot fi trecute în evidenţã pasivã şi stocate, pentru o perioadã care nu poate fi mai mare decât termenul de stocare stabilit iniţial potrivit scopului în care au fost colectate.
(2) Înainte de ştergerea datelor cu caracter personal, potrivit alin. (1), şi dacã activitãţile prevãzute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoaşterea faptului cã datele cu caracter personal au fost colectate şi stocate, persoana vizatã trebuie informatã atunci când colectarea şi stocarea datelor s-au efectuat fãrã consimţãmântul sãu.
(3) În condiţiile prevãzute la alin. (2), informarea persoanei vizate se realizeazã de structurile/unitãţile M.A.I. care au colectat şi stocat datele cu caracter personal ale acesteia, în termen de 15 zile de la momentul în care activitãţile prevãzute la art. 1 alin. (1) nu mai pot fi prejudiciate sau, dupã caz, de la momentul comunicãrii cãtre aceste structuri/unitãţi ale M.A.I. a unei soluţii de neîncepere a urmãririi penale, clasare, scoatere de sub urmãrire penalã sau încetare a urmãririi penale.
(4) Prin excepţie de la prevederile alin. (1), datele cu caracter personal pot fi stocate şi dupã îndeplinirea scopurilor pentru care au fost colectate, dacã este necesarã pãstrarea acestora. Evaluarea necesitãţii stocãrii datelor dupã îndeplinirea scopurilor pentru care au fost colectate se realizeazã, în special, în urmãtoarele situaţii:
a) datele sunt necesare în vederea terminãrii urmãririi penale într-un caz determinat;
b) nu existã o hotãrâre judecãtoreascã definitivã;
c) nu a intervenit reabilitarea;
d) nu a intervenit prescripţia executãrii pedepsei;
e) nu a intervenit amnistia;
f) datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu modificãrile şi completãrile ulterioare.
CAP. VIII
Securitatea datelor cu caracter personal
ART. 30
Structurile/Unitãţile M.A.I. sunt obligate sã ia toate mãsurile necesare pentru a asigura securitatea tehnicã şi organizatoricã adecvatã a prelucrãrii datelor cu caracter personal, astfel încât sã previnã accesul, comunicarea sau distrugerea neautorizatã ori alterarea datelor. În acest scop, se au în vedere diferitele caracteristici ale sistemelor de evidenţã a datelor cu caracter personal şi conţinutul acestora.
CAP. IX
Dispoziţii finale
ART. 31
(1) Structurile/Unitãţile M.A.I. care desfãşoarã activitãţile prevãzute la art. 1 alin. (1) au obligaţia de a elabora reguli, dacã acestea nu sunt stabilite prin prevederi legale exprese, cu privire la:
a) termenele de stocare a datelor cu caracter personal pe care le prelucreazã;
b) verificãrile periodice asupra datelor cu caracter personal pentru ca acestea sã fie exacte, actuale şi complete;
c) ştergerea datelor cu caracter personal.
(2) În lipsa unor prevederi legale exprese care sã stabileascã regulile prevãzute la alin. (1), structurile/unitãţile M.A.I. care desfãşoarã activitãţile prevãzute la art. 1 alin. (1) au obligaţia ca, în termen de 30 de zile de la data intrãrii în vigoare a prezentei legi, sã stabileascã aceste reguli, cu avizul Autoritãţii naţionale de supraveghere acordat în condiţiile legii.
ART. 32
Prevederile prezentei legi se completeazã cu dispoziţiile Legii nr. 677/2001, cu modificãrile şi completãrile ulterioare.
*
Prezenta lege transpune în legislaţia naţionalã Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecţia datelor cu caracter personal prelucrate în cadrul cooperãrii poliţieneşti şi judiciare în materie penalã, publicatã în Jurnalul Oficial al Uniunii Europene, seria L, nr. 350 din 30 decembrie 2008 şi creeazã cadrul juridic necesar aplicãrii art. 24-32 din Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperãrii transfrontaliere, în special în domeniul combaterii terorismului şi a criminalitãţii transfrontaliere, publicatã în Jurnalul Oficial al Uniunii Europene, seria L, nr. 210 din 6 august 2008.
---------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
