LEGE Nr. 238
din 10 iunie 2009
privind reglementarea
prelucrarii datelor cu caracter personal de catre structurile/unitatile
Ministerului Administratiei si Internelor în activitatile de prevenire,
cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a
ordinii publice
ACT EMIS DE:
PARLAMENTUL ROMANIEI
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 405 din 15 iunie 2009
Parlamentul României adoptă
prezenta lege.
CAPITOLUL I
Dispoziţii generale
Art. 1. - (1) Prezenta lege reglementează prelucrarea
automată şi neautomată a datelor cu caracter personal pentru realizarea
activităţilor de prevenire, cercetare şi combatere a infracţiunilor, precum şi
de menţinere şi asigurare a ordinii publice de către structurile/unităţile
Ministerului Administraţiei şi Internelor, potrivit competenţelor acestora.
(2) Structurile/unităţile Ministerului Administraţiei
şi Internelor, denumite în continuare structurile/unităţile M.A.I., care
desfăşoară, potrivit competenţelor, activităţile prevăzute la alin. (1), în
calitate de operatori, dobândite în condiţiile Legii nr. 677/2001 pentru
protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi
libera circulaţie a acestor date, cu modificările şi completările ulterioare,
prelucrează date cu caracter personal în exercitarea atribuţiilor legale.
Art. 2. - (1) Pentru realizarea activităţilor prevăzute
la art. 1 alin. (1), structurile/unităţile M.A.I, constituie, organizează şi
deţin, potrivit atribuţiilor legale, sisteme de evidenţă şi utilizează mijloace
automate şi neautomate de prelucrare a datelor cu caracter personal, în
condiţiile legii.
(2) Structurile/unităţile M.A.I, utilizează sisteme de
evidenţă şi/sau mijloace automate şi neautomate de prelucrare a datelor cu
caracter personal, cu respectarea drepturilor omului şi aplicarea principiilor
legalităţii, necesităţii, confidenţialităţii, proporţionalităţii şi numai dacă,
prin utilizarea acestora, este asigurată protecţia datelor prelucrate.
(3) Inaintea introducerii unui sistem de evidenţă sau a
unui mijloc automat/neautomat de prelucrare a datelor cu caracter personal care
este susceptibil să prezinte anumite riscuri privind datele prelucrate,
structurile/unităţile M.A.I, consultă Autoritatea Naţională de Supraveghere a
Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea
naţională de supraveghere, care, dacă este cazul, stabileşte garanţii
adecvate, potrivit legii.
CAPITOLUL II
Notificarea prelucrărilor datelor cu caracter
personal
Art. 3. - (1) Prelucrările de date cu caracter personal
sunt notificate Autorităţii naţionale de supraveghere. Notificarea se
efectuează anterior oricărei prelucrări, în condiţiile legii.
(2) Notificarea prelucrării automate sau neautomate a
datelor cu caracter personal prin sisteme de evidenţă a datelor cu caracter
personal, realizată potrivit legii de către structurile/unităţile M.A.I.,
cuprinde, pe lângă informaţiile prevăzute la art. 22 alin. (8) din Legea nr.
677/2001, cu modificările şi completările ulterioare, în mod corespunzător şi
informaţii referitoare la natura fiecărui sistem de evidenţă a datelor cu
caracter personal care are legătură cu prelucrarea, precum şi la destinatarii
cărora le sunt comunicate datele.
(3) Notificarea prelucrării datelor cu caracter
personal prin sisteme de evidenţă constituite în anumite cazuri numai pentru
perioada necesară realizării unor activităţi de prevenire, cercetare şi combatere
a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice se face
cu respectarea condiţiilor prevăzute la alin. (2), numai dacă prelucrarea nu a
făcut obiectul unei notificări anterioare.
CAPITOLUL III
Colectarea datelor cu caracter personal
Art. 4. - (1) Pentru realizarea activităţilor prevăzute
la art. 1 alin. (1), structurile/unităţile M.A.I, colectează date cu caracter
personal, cu sau fără consimţământul persoanei vizate, în condiţiile legii.
(2) Colectarea datelor cu caracter personal fără
consimţământul persoanei vizate pentru realizarea activităţilor prevăzute la
art. 1 alin. (1) se face numai dacă această măsură este necesară pentru
prevenirea unui pericol iminent cel puţin asupra vieţii, integrităţii corporale
sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru
combaterea unei anumite infracţiuni.
(3) Colectarea datelor cu caracter personal pentru
realizarea activităţilor prevăzute la art. 1 alin. (1) se efectuează de personalul
structurilor/unităţilor M.A.I, numai în scopul îndeplinirii atribuţiilor de
serviciu.
(4) Colectarea datelor cu caracter personal în
scopurile prevăzute la art. 1 alin. (1) trebuie să fie limitată la datele
necesare pentru prevenirea unui pericol iminent cel puţin asupra vieţii,
integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia,
precum şi pentru combaterea unei anumite infracţiuni.
(5) Colectarea de date privind persoana fizică
exclusiv datorită faptului că aceasta are o anumită origine rasială, anumite
convingeri religioase ori politice, un anumit comportament sexual sau datorită
apartenenţei acesteia la anumite mişcări ori organizaţii care nu contravin
legii este interzisă.
(6) Prin excepţie de la prevederile alin. (5),
structurile/unităţile M.A.I, colectează şi prelucrează, cu respectarea
garanţiilor prevăzute de Legea nr. 677/2001, cu modificările şi completările
ulterioare, date exclusiv în baza acestor criterii numai dacă, într-un caz
determinat, sunt necesare pentru efectuarea actelor premergătoare sau a
urmăririi penale, ca urmare a săvârşirii unei infracţiuni. Prevederile art. 3
se aplică în mod corespunzător.
(7) Prevederile alin. (6) nu aduc atingere
dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a
respecta şi de a ocroti viaţa intimă, familială şi privată.
CAPITOLUL IV
Stocarea datelor cu caracter personal
Art. 5. - (1) Pentru realizarea scopurilor
activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I,
stochează numai acele date cu caracter personal care sunt exacte, complete şi
necesare îndeplinirii atribuţiilor legale sau obligaţiilor rezultate din
instrumente juridice internaţionale la care România este parte.
(2) Stocarea diferitelor categorii de date cu caracter
personal se realizează prin ordonarea acestora în funcţie de gradul lor de
acurateţe şi exactitate. Datele cu caracter personal bazate pe opinii şi
interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1)
sunt ordonate în mod distinct.
(3) Structurile/unităţile M.A.I, au obligaţia de a
verifica periodic calitatea datelor prevăzute la alin. (2), conform regulilor
stabilite potrivit art. 14 alin. (1) lit. b).
(4) In situaţia în care datele cu caracter personal
stocate se dovedesc a fi inexacte sau incomplete, structurile/unităţile M.A.I,
care le deţin au obligaţia să le şteargă, distrugă, modifice, actualizeze sau,
după caz, să le completeze.
(5) Structurile/unităţile M.A.I, stochează datele cu
caracter personal colectate în scopuri administrative separat de datele cu
caracter personal colectate în scopurile prevăzute la art. 1 alin. (1).
CAPITOLUL V
Comunicarea datelor cu caracter personal
Art. 6. - (1) Comunicarea datelor cu caracter personal
între structurile/unităţile M.A.I, se face numai în cazul în care este necesară
pentru exercitarea competenţelor şi îndeplinirea atribuţiilor legale ce le
revin.
(2) Comunicarea de date cu caracter personal către
alte autorităţi sau instituţii publice se poate efectua numai în următoarele
situaţii:
a) în baza unei prevederi legale exprese ori cu
autorizarea Autorităţii naţionale de supraveghere;
b) când datele sunt indispensabile îndeplinirii
atribuţiilor legale ale destinatarului şi numai dacă scopul în care se face
colectarea sau prelucrarea de către destinatar nu este incompatibil cu scopul
pentru care datele au fost colectate de structurile/unităţile M.A.I., iar
comunicarea datelor de structurile/unităţile M.A.I, se realizează în
conformitate cu atribuţiile legale ale acestora.
(3) Prin excepţie de la prevederile alin. (2),
comunicarea datelor cu caracter personal către alte autorităţi sau instituţii
publice este permisă în următoarele situaţii:
a) persoana vizată şi-a exprimat consimţământul expres
şi neechivoc pentru comunicarea datelor sale;
b) comunicarea este necesară pentru a preveni un
pericol grav şi iminent cel puţin asupra vieţii, integrităţii corporale sau
sănătăţii unei persoane ori a proprietăţii acesteia.
(4) Comunicarea datelor cu caracter personal către
entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României
se efectuează numai dacă există o obligaţie legală expresă sau cu autorizarea
Autorităţii naţionale de supraveghere.
(5) Prin excepţie de la prevederile alin. (4),
comunicarea datelor cu caracter personal către entităţi de drept privat care
îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia este
permisă dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc
pentru comunicarea datelor sale sau dacă este necesară pentru a preveni un
pericol grav şi iminent cel puţin asupra vieţii, integrităţii corporale sau
sănătăţii unei persoane ori a proprietăţii acesteia sau a unei alte persoane
ameninţate.
Art. 7. - Datele cu caracter personal deţinute de
structurile/unităţile M.A.I, potrivit scopurilor prevăzute la art. 1 alin. (1)
pot fi transferate către Organizaţia Internaţională a Poliţiei Criminale -
Interpol, Oficiul European de Poliţie - Europol sau alte instituţii internaţionale
similare, precum şi către organismele de poliţie ale altor state, dacă există o
prevedere legală expresă în legislaţia naţională sau într-un acord
internaţional ratificat de România ori prevederi care reglementează cooperarea
judiciară internaţională în materie penală sau, în lipsa unei astfel de
prevederi, când transferul este necesar pentru prevenirea unui pericol grav şi
iminent asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a
proprietăţii acesteia, precum şi pentru combaterea unei infracţiuni grave
prevăzute de lege, cu respectarea legii române. Art. 8. - (1) Cererile pentru
comunicarea datelor cu caracter personal adresate structurilor/unităţilor
M.A.I, de către alte structuri/unităţi ale M.A.I., alte autorităţi sau
instituţii publice, entităţi de drept privat care îşi desfăşoară activitatea pe
teritoriul României sau în afara acestuia şi organisme de poliţie ale altor
state trebuie să conţină datele de identificare a solicitantului, precum şi
motivarea şi scopul cererii, conform prevederilor legale interne sau celor
cuprinse în acordurile internaţionale la care România este parte. Cererile care
nu conţin aceste date şi nu sunt conforme prevederilor legale interne sau celor
cuprinse în acordurile internaţionale la care România este parte se resping.
(2) Inainte de comunicare, structurile/unităţile M.A.I,
verifică dacă datele solicitate sunt exacte, complete şi actualizate. In cazul
în care se constată că nu sunt corecte, complete sau actualizate, datele nu se
comunică. In comunicări trebuie indicate, după caz, datele care rezultă din
hotărâri ale instanţelor judecătoreşti ori din actele prin care s-a dispus
neînceperea urmăririi penale, clasarea, scoaterea de sub urmărire penală,
încetarea urmăririi penale sau trimiterea în judecată, precum şi datele bazate
pe opinii şi interpretări personale rezultate din activităţile prevăzute la
art. 1 alin. (1). Datele bazate pe opinii şi interpretări personale rezultate
din activităţile prevăzute la art. 1 alin. (1) trebuie verificate la sursă înainte
de a fi comunicate, iar gradul de acurateţe şi exactitate al acestor date
trebuie întotdeauna menţionat cu ocazia comunicării.
(3) In situaţia în care au fost transmise date
incorecte sau neactualizate, structurile/unităţile M.A.I, au obligaţia să îi
informeze pe destinatarii respectivelor date asupra neconformităţii acestora,
cu menţionarea datelor care au fost modificate.
Art. 9. - (1) La comunicarea datelor cu caracter
personal către alte autorităţi sau instituţii publice, entităţi de drept privat
care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia,
Organizaţia Internaţională a Poliţiei Criminale - Interpol, Oficiul European de
Poliţie - Europol sau alte instituţii internaţionale similare ori către
organisme de poliţie ale altor state, structurile/unităţile M.A.I, atenţionează
destinatarii asupra interdicţiei de a prelucra datele comunicate în alte
scopuri decât cele specificate în cererea de comunicare.
(2) Prelucrarea datelor de către destinatari în alte
scopuri decât cele care au format obiectul cererii se poate realiza numai cu
acordul structurilor/unităţilor M.A.I, care le-au comunicat şi numai cu
respectarea prevederilor art. 6 alin. (2)-(5) şi ale art. 7.
Art. 10. - (1) Pentru realizarea activităţilor de
cercetare şi combatere a infracţiunilor, structurile/unităţile M.A.I, pot
interconecta sistemele de evidenţă a datelor cu caracter personal sau, după
caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care
le deţin pentru scopuri diferite.
(2) In scopul prevăzut la alin. (1), interconectarea se
poate realiza şi cu sistemele de evidenţă sau cu mijloacele automate de
prelucrare a datelor cu caracter personal deţinute de alţi operatori.
(3) Interconectările prevăzute la alin. (1) şi (2)
sunt permise numai în cazul efectuării actelor premergătoare, al urmăririi
penale sau al judecării unei infracţiuni în baza unei autorizări emise de
procurorul competent să efectueze sau să supravegheze, într-un caz determinat,
efectuarea actelor premergătoare sau urmărirea penală ori, în cazul judecării
unei infracţiuni, de judecătorul anume desemnat de la instanţa căreia îi revine
competenţa de a judeca fondul cauzei pentru care sunt prelucrate datele
respective.
(4) Accesul direct sau printr-un serviciu de
comunicaţii electronice la un sistem de evidenţă a datelor cu caracter personal
care face obiectul interconectării, potrivit alin. (1), este permis numai în
condiţiile legii şi cu respectarea prevederilor art. 1 alin. (1) şi ale art.
5-11.
(5) Interconectarea sistemelor de evidenţă a datelor cu
caracter personal sau a mijloacelor automate de prelucrare a datelor cu
caracter personal nu se realizează în cazul activităţilor de prevenire a
infracţiunilor, de menţinere şi de asigurare a ordinii publice.
CAPITOLUL VI
Drepturile persoanei vizate
Art. 11. - (1) Structurile/unităţile M.A.I, asigură
condiţiile de exercitare a drepturilor conferite de lege persoanei vizate, cu
respectarea Legii nr. 677/2001, cu modificările şi completările ulterioare, şi
a prezentei legi.
(2) Prevederile referitoare la exercitarea drepturilor
persoanei vizate, prevăzute de Legea nr. 677/2001, cu modificările şi
completările ulterioare, nu se aplică pe perioada în care o asemenea măsură
este necesară pentru evitarea prejudicierii activităţilor specifice de
prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi
asigurare a ordinii publice, ca urmare a cunoaşterii de persoana vizată a
faptului că datele sale cu caracter personal sunt prelucrate, sau este necesară
pentru protejarea persoanei vizate ori a drepturilor şi libertăţilor altor
persoane, în cazul în care există date şi informaţii că aceste drepturi şi
libertăţi sunt puse în pericol.
(3) In cazul aplicării excepţiilor de la exercitarea
drepturilor persoanei vizate, prevăzute la alin. (2), acestea trebuie motivate
în scris. Necomunicarea motivelor este posibilă numai în măsura în care este
necesară bunei desfăşurări a activităţilor prevăzute la art. 1 alin. (1) sau
pentru protejarea drepturilor şi libertăţilor altor persoane decât persoana
vizată.
(4) In toate situaţiile, persoana vizată va fi
informată cu privire la dreptul de a se adresa Autorităţii naţionale de
supraveghere sau, după caz, instanţei de judecată, care va decide dacă măsurile
luate de structurile/unităţile M.A.I., conform prevederilor alin. (2), sunt
întemeiate.
(5) In situaţia în care, în urma exercitării dreptului
de acces sau a dreptului de intervenţie, rezultă că datele cu caracter personal
sunt inexacte, irelevante sau înregistrate în mod abuziv, acestea vor fi şterse
sau rectificate prin anexarea unui document, încheiat în acest sens, la
sistemul de evidenţă ale cărui date cu caracter personal au suferit modificări,
deţinut de structurile/unităţile M.A.I.
(6) Măsurile prevăzute la alin. (5) se aplică tuturor
documentelor care au legătură cu sistemul de evidenţă a datelor cu caracter
personal. In cazul în care acestea nu sunt efectuate imediat, se va avea în
vedere realizarea lor cel mai târziu la data prelucrării ulterioare a datelor
cu caracter personal sau la o următoare comunicare a acestora.
CAPITOLUL VII
Incheierea operaţiunilor de prelucrare a datelor cu
caracter personal
Art. 12. - (1) Datele cu caracter personal stocate în
îndeplinirea activităţilor prevăzute la art. 1 alin. (1) se şterg atunci când
nu mai sunt necesare scopurilor pentru care au fost colectate.
(2) Inainte de ştergerea datelor cu caracter personal,
potrivit alin. (1), şi dacă activităţile prevăzute la art. 1 alin. (1) nu mai
pot fi prejudiciate prin cunoaşterea faptului că datele cu caracter personal au
fost colectate şi stocate, persoana vizată trebuie informată atunci când
colectarea şi stocarea datelor s-au efectuat fără consimţământul său.
(3) In condiţiile prevăzute la alin. (2), informarea
persoanei vizate se realizează de structurile/unităţile M.A.I, care au colectat
şi stocat datele cu caracter personal ale acesteia, în termen de 15 zile de la
momentul în care activităţile prevăzute la art. 1 alin. (1) nu mai pot fi
prejudiciate sau, după caz, de la momentul comunicării către aceste
structuri/unităţi ale M.A.I, a unei soluţii de neîncepere a urmăririi penale,
clasare, scoatere de sub urmărire penală sau încetare a urmăririi penale.
(4) Prin excepţie de la prevederile alin. (1), datele
cu caracter personal pot fi stocate şi după îndeplinirea scopurilor pentru care
au fost colectate, dacă este necesară păstrarea acestora. Evaluarea necesităţii
stocării datelor după îndeplinirea scopurilor pentru care au fost colectate se
realizează, în special, în următoarele situaţii:
a) datele sunt necesare în vederea terminării urmăririi
penale într-un caz determinat;
b) nu există o hotărâre judecătorească definitivă;
c) nu a intervenit reabilitarea;
d) nu a intervenit prescripţia executării pedepsei;
e) nu a intervenit amnistia;
f) datele fac parte din categorii speciale de date,
potrivit Legii nr. 677/2001, cu modificările şi completările ulterioare.
CAPITOLUL VIII
Securitatea datelor cu caracter personal
Art. 13. - Structurile/unităţile M.A.I, sunt obligate
să ia toate măsurile necesare pentru a asigura securitatea tehnică şi
organizatorică adecvată a prelucrării datelor cu caracter personal, astfel
încât să prevină accesul, comunicarea sau distrugerea neautorizată ori
alterarea datelor. In acest scop, se au în vedere diferitele caracteristici ale
sistemelor de evidenţă a datelor cu caracter personal şi conţinutul acestora.
CAPITOLUL IX
Dispoziţii finale
Art. 14. - (1) Structurile/unităţile M.A.I, care
desfăşoară activităţile prevăzute la art. 1 alin. (1) au obligaţia de a elabora
reguli, dacă acestea nu sunt stabilite prin prevederi legale exprese, cu
privire la:
a) termenele de stocare a datelor cu caracter personal
pe care le prelucrează;
b) verificările periodice asupra datelor cu caracter
personal pentru ca acestea să fie exacte, actuale şi complete;
c) ştergerea datelor cu caracter personal.
(2) In lipsa unor prevederi legale exprese care să
stabilească regulile prevăzute la alin. (1), structurile/unităţile M.A.I, care
desfăşoară activităţile prevăzute la art. 1 alin. (1) au obligaţia ca, în
termen de 30 de zile de la data intrării în vigoare a prezentei legi, să
stabilească aceste reguli, cu avizul Autorităţii naţionale de supraveghere
acordat în condiţiile legii.
Art. 15. - Prevederile prezentei legi se completează cu
dispoziţiile Legii nr. 677/2001, cu modificările şi completările ulterioare.
Această lege a fost adoptată de Parlamentul
României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din
Constituţia României, republicată.
PREŞEDINTELE CAMEREI DEPUTAŢILOR
ROBERTA ALMA ANASTASE
PREŞEDINTELE SENATULUI
MIRCEA-DAN GEOANĂ