Legea Nr.81 din 13.06.2012

pentru modificarea şi completarea Legii nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice
ACT EMIS DE: Parlamentul Romaniei
ACT PUBLICAT ÎN MONITORUL OFICIAL NR. 400 din 14 iunie 2012

Parlamentul României adoptă prezenta lege. Articolul ILegea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, publicată în Monitorul Oficial al României, Partea I, nr. 405 din 15 iunie 2009, se modifică şi se completează după cum urmează: 1. La articolul 1, după alineatul (2) se introduce un nou alineat, alineatul (3) , cu următorul cuprins:(3) Prezenta lege nu se aplică prelucrărilor şi transferului de date cu caracter personal efectuate în îndeplinirea atribuţiilor legale de structurile/unităţile M.A.I. în domeniul apărării naţionale şi securităţii naţionale, în limitele şi cu restricţiile stabilite de lege. 2. După articolul 1 se introduce un nou articol, articolul 1¹ , cu următorul cuprins: Articolul 1¹ În înţelesul prezentei legi, termenii şi expresiile de mai jos au următoarea semnificaţie: a)interconectare - operaţiunea de a pune în legătură datele cu caracter personal cuprinse într-un fişier, bază de date sau sistem de evidenţă automat cu cele cuprinse într-unul sau mai multe fişiere, baze de date sau sisteme de evidenţă automate care sunt gestionate de operatori diferiţi sau de către acelaşi operator, dar având scopuri diferite, similare sau corelate, după caz; b)semnalare - setul de date introduse într-un sistem de evidenţă a datelor cu caracter personal referitoare la persoane sau bunuri cu privire la care au fost dispuse unele măsuri, în condiţiile legii, în vederea realizării unui interes public, a respectării regimului liberei circulaţii a persoanelor şi bunurilor sau a asigurării ori menţinerii ordinii şi siguranţei publice; c)blocare - marcarea unor date cu caracter personal stocate, în scopul limitării prelucrării pe viitor; d)atribuirea de referinţe - marcarea unor date cu caracter personal stocate, fără a avea ca scop limitarea prelucrării lor ulterioare; e)transformarea în date anonime - modificarea datelor cu caracter personal, astfel încât detaliile privind circumstanţele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile sau atribuirea să fie posibilă doar în condiţiile unei investiţii disproporţionate de timp, costuri şi forţă de muncă; f)consimţământul persoanei vizate - orice manifestare de voinţă, liberă, specifică şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc; g)evidenţă pasivă - fişier sau bază de date cu caracter personal constituit în scopul accesării limitate şi ulterior ştergerii datelor stocate din sistemul de evidenţă. 3. După articolul 5 se introduc două noi articole, articolele 5¹ şi 5² , cu următorul cuprins: Articolul 5¹ (1) Datele cu caracter personal se blochează atunci când există motive întemeiate să se considere că ştergerea lor ar putea afecta drepturile, libertăţile şi interesele legitime ale persoanei vizate.(2) Datele blocate se prelucrează doar în scopul care a împiedicat ştergerea lor.(3) Datele blocate se şterg de îndată ce nu mai sunt necesare scopului prevăzut la alin. (2). Articolul 5² Structurile/unităţile M.A.I. prelucrează suplimentar date cu caracter personal, într-un alt scop decât cel pentru care datele au fost colectate, dacă sunt îndeplinite următoarele condiţii: a)prelucrarea este compatibilă cu scopul în care au fost colectate datele; b)scopul în care urmează a fi prelucrate suplimentar datele cu caracter personal de către structurile/unităţile M.A.I. sau entităţile cărora urmează să le fie comunicate datele se încadrează în atribuţiile sau, după caz, obligaţiile ce le revin potrivit legii; c)prelucrarea este necesară şi proporţională în raport cu noul scop. 4. Articolul 7 se modifică şi va avea următorul cuprins: Articolul 7(1) Datele cu caracter personal deţinute de structurile/unităţile M.A.I. potrivit scopurilor prevăzute la art. 1 alin. (1) pot fi transferate următorilor destinatari:a)autorităţilor poliţieneşti, judiciare sau altor autorităţi competente din statele membre ori organismelor sau instituţiilor Uniunii Europene cu atribuţii în domeniul cooperării poliţieneşti ori judiciare în materie penală; b)Organizaţiei Internaţionale a Poliţiei Criminale - Interpol sau altor instituţii internaţionale similare; c)organismelor de poliţie din state terţe. (2) Transferul datelor cu caracter personal prevăzut la alin. (1) se realizează în una dintre următoarele situaţii:a)există o prevedere legală expresă în legislaţia naţională sau într-un tratat ratificat de România; b)există prevederi legale care reglementează cooperarea poliţienească sau cooperarea judiciară internaţională în materie penală; c)când transferul este necesar pentru prevenirea unui pericol grav şi iminent asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru combaterea unei infracţiuni grave prevăzute de lege, cu respectarea legii române. 5. La articolul 8, alineatul (3) se modifică şi va avea următorul cuprins:(3) În situaţia în care au fost transmise date incorecte sau neactualizate, structurile/unităţile M.A.I. au obligaţia să îi informeze pe destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea datelor care au fost modificate sau, dacă este cazul, cu precizarea că datele transmise trebuie rectificate, şterse ori blocate. 6. La articolul 8, după alineatul (3) se introduc trei noi alineate, alineatele (4) , (5) și (6) , cu următorul cuprins:(4) În situaţia în care se constată că au fost transmise date cu caracter personal în mod ilegal, structurile/unităţile M.A.I. au obligaţia de a-i informa pe destinatarii acestor date, cu precizarea că datele transmise trebuie şterse de îndată.(5) În situaţia în care se constată că structurilor/unităţilor M.A.I. le-au fost transmise date cu caracter personal incorecte sau neactualizate, datele se rectifică, se şterg sau, după caz, se blochează, în condiţiile legii. Dacă structurilor/unităţilor M.A.I. le sunt transmise în mod eronat sau ilegal astfel de date, acestea se şterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată şi motivul adoptării acesteia.(6) În cazul în care structurilor/unităţilor M.A.I. le sunt transmise, potrivit legii, date cu caracter personal nesolicitate, acestea au obligaţia de a verifica dacă datele sunt necesare în scopul pentru care au fost transmise. Datele care nu sunt necesare scopului se şterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată şi motivul adoptării acesteia. 7. La articolul 9, alineatul (1) se modifică şi va avea următorul cuprins: Articolul 9(1) La comunicarea datelor cu caracter personal către alte autorităţi sau instituţii publice, entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia, ori către destinatarii prevăzuţi la art. 7 alin. (1), structurile/unităţile M.A.I. atenţionează destinatarii asupra interdicţiei de a prelucra datele comunicate în alte scopuri decât cele specificate în cererea de comunicare. 8. La articolul 9, după alineatul (1) se introduc două noi alineate, alineatele (1¹ ) şi (1² ) , cu următorul cuprins: (1¹ ) La comunicarea datelor cu caracter personal potrivit alin. (1) i se indică destinatarului limitări ale prelucrării, dacă este cazul, şi termene de păstrare adecvate şi se precizează obligaţia de a şterge datele cu caracter personal transmise la expirarea termenului indicat sau, dacă este cazul, de a proceda la blocarea acestora. Termenele de păstrare comunicate nu pot depăşi termenele stabilite prin prevederi legale ori, după caz, cele stabilite de structurile/unităţile M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 14 pentru acele categorii de date cu caracter personal pe care le deţin şi urmează să facă obiectul comunicării. (1² ) În cazul în care se comunică date cu caracter personal destinatarilor prevăzuţi la art. 7 alin. (1) lit. a), pot fi comunicate limitări ale prelucrării doar dacă acestea sunt stabilite de lege, iar termenele de păstrare sunt cele stabilite prin prevederi legale ori, după caz, de structurile/unităţile M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 14. 9. La articolul 9, după alineatul (2) se introduce un nou alineat, alineatul (3) , cu următorul cuprins:(3) Structurile/Unităţile M.A.I. pot solicita destinatarilor prevăzuţi la alin. (1), cărora le-au fost comunicate date cu caracter personal, informaţii cu privire la modul în care acestea au fost prelucrate. 10. După articolul 9 se introduc cinci noi articole, articolele 9¹ , 9² , 9³ , 9⁴ și 9⁵ , cu următorul cuprins: Articolul 9¹ (1) Pentru datele cu caracter personal comunicate de către alte autorităţi competente sau entităţi de drept privat din afara teritoriului României, în cazul în care este precizat un termen de păstrare a datelor, structurile/unităţile M.A.I. au obligaţia de a şterge ori, după caz, de a bloca datele la expirarea termenului de păstrare a datelor indicat. În cazul în care nu este precizat un termen de păstrare a datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal, stabilite pentru acele categorii de date, de către structurile/unităţile M.A.I., potrivit dispoziţiilor art. 14.(2) În cazul datelor cu caracter personal prevăzute la alin. (1), structurile/unităţile M.A.I. au obligaţia de a verifica periodic, o dată la 3 ani, necesitatea stocării acestora.(3) Datele cu caracter personal a căror stocare nu mai este necesară se şterg sau, după caz, se blochează, chiar dacă nu s-a împlinit termenul precizat de entitatea care le-a transmis ori cel prevăzut de regulile stabilite potrivit dispoziţiilor art. 14.(4) Dispoziţiile alin. (1) nu se aplică dacă la momentul expirării termenului de păstrare a datelor, indicat de autoritatea competentă sau entitatea de drept privat din afara teritoriului României, datele cu caracter personal sunt în continuare necesare pentru efectuarea de acte premergătoare în vederea începerii urmăririi penale, pentru desfăşurarea urmăririi penale sau pentru executarea unei pedepse. Articolul 9² Datele cu caracter personal comunicate de către autorităţile competente ale unui stat membru al Uniunii Europene, denumit în continuare stat membru, pot fi prelucrate suplimentar de către structurile/unităţile M.A.I., în alt scop decât cel pentru care au fost transmise, în una dintre următoarele situaţii: a)pentru prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor ori executarea pedepselor, altele decât cele pentru care au fost comunicate; b)pentru derularea altor proceduri judiciare sau administrative direct legate de prevenirea, constatarea, cercetarea ori urmărirea penală a infracţiunilor ori executarea pedepselor; c)pentru prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei publice; d)în orice alt scop, cu consimţământul prealabil al statului membru care transmite sau cu consimţământul persoanei vizate, potrivit legii. Articolul 9³ (1) Datele cu caracter personal comunicate de către autorităţile competente ale unui alt stat membru pot fi transferate de structurile/unităţile M.A.I. către autorităţi competente dintr-un stat care nu este membru al Uniunii Europene, denumit în continuare stat terţ, sau către organisme internaţionale, numai dacă sunt îndeplinite, cumulativ, următoarele condiţii:a)se impune pentru prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor ori executarea pedepselor; b)datele cu caracter personal sunt comunicate organismului internaţional ori autorităţii statului terţ competente în prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor sau pentru executarea pedepselor; c)există acordul statului membru care a comunicat datele pentru transfer; d)statul terţ sau organismul internaţional în cauză asigură un nivel corespunzător de protecţie pentru prelucrarea de date urmărită. (2) Datele cu caracter personal pot fi comunicate în condiţiile prevăzute la alin. (1), fără acordul statului membru, numai dacă transferul de date este strict necesar pentru prevenirea unui pericol grav şi iminent la adresa ordinii şi siguranţei publice a unui stat membru ori a unui stat terţ sau a intereselor fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obţinut în timp util.(3) În situaţia prevăzută la alin. (2), unitatea/structura M.A.I. care efectuează comunicarea de date cu caracter personal are obligaţia de a informa de îndată autoritatea competentă din statul membru care a furnizat datele.(4) Prin excepţie de la prevederile alin. (1) lit. d), datele cu caracter personal pot fi comunicate către autorităţile competente dintr-un stat terţ sau către organismele internaţionale, cu respectarea dispoziţiilor art. 30 lit. d) ori e) din Legea nr. 677/2001, cu modificările şi completările ulterioare. Articolul 9⁴ (1) Datele cu caracter personal comunicate de către autorităţile competente ale unui alt stat membru pot fi transferate către entităţi de drept privat dintr-un stat membru, altul decât cel care a furnizat datele, numai dacă sunt îndeplinite, cumulativ, următoarele condiţii: a)autoritatea competentă din statul membru care a comunicat datele şi-a dat acordul pentru efectuarea prelucrării; b)niciun interes specific legitim al persoanei vizate nu împiedică transmiterea; c)în situaţii specifice, comunicarea este esenţială pentru autoritatea competentă care transmite date unei entităţi private. (2) Cazurile specifice pentru care se consideră îndeplinită condiţia prevăzută la alin. (1) lit. c) sunt determinate de următoarele situaţii:a)îndeplinirea unei obligaţii prevăzute de lege în sarcina entităţii private; b)prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor ori executarea pedepselor; c)prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei publice; d)prevenirea unei vătămări grave a drepturilor persoanei. (3) Structurile/Unităţile M.A.I. au obligaţia de a informa entităţile de drept privat cărora le sunt comunicate datele potrivit alin. (1) cu privire la scopurile pentru care, în mod exclusiv, pot fi utilizate datele cu caracter personal comunicate. Articolul 9⁵ La cerere, structurile/unităţile M.A.I. informează autorităţile competente ale unui alt stat membru care au transmis date cu caracter personal cu privire la modul în care acestea au fost prelucrate, în termen de 15 zile de la înregistrarea solicitării. 11. La articolul 10, alineatul (2) se modifică şi va avea următorul cuprins:(2) În scopul prevăzut la alin. (1), interconectarea sistemelor de evidenţă a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 2, se poate realiza şi cu sistemele de evidenţă ori cu mijloacele automate de prelucrare a datelor cu caracter personal deţinute de alţi operatori, autorităţi şi instituţii publice naţionale. 12. La articolul 10, după alineatul (2) se introduc două noi alineate, alineatele (2¹ ) şi (2² ) , cu următorul cuprins: (2¹ ) Interconectările prevăzute la alin. (1) şi (2) sunt posibile numai cu acordul prealabil al Autorităţii naţionale de supraveghere. În cazul obţinerii acordului prealabil, structura/unitatea M.A.I. notifică prelucrarea Autorităţii naţionale de supraveghere, în condiţiile prevăzute la art. 3. (2² ) În scopul prevăzut la alin. (1), interconectarea sistemelor de evidenţă a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 2, se poate realiza şi cu sistemele de evidenţă sau cu mijloacele automate de prelucrare a datelor cu caracter personal deţinute de alţi operatori, entităţi de drept privat. 13. La articolul 10, alineatul (3) se modifică şi va avea următorul cuprins:(3) Interconectările prevăzute la alin. (2²) sunt permise numai în cazul efectuării actelor premergătoare, al urmăririi penale sau al judecării unei infracţiuni în baza unei autorizări emise de procurorul competent să efectueze ori să supravegheze, într-un caz determinat, efectuarea actelor premergătoare sau urmărirea penală ori, în cazul judecării unei infracţiuni, de judecătorul anume desemnat de la instanţa căreia îi revine competenţa de a judeca fondul cauzei pentru care sunt prelucrate datele respective. 14. La articolul 10, alineatul (5) se abrogă. 15. După articolul 10 se introduc cinci noi articole, articolele 10¹ , 10² , 10³ , 10⁴ și 10⁵ , cu următorul cuprins: Articolul 10¹ (1) În cazul activităţilor de prevenire a infracţiunilor, de menţinere şi de asigurare a ordinii publice, sistemele de evidenţă a datelor cu caracter personal sau mijloacele automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 2, pot fi interconectate cu:a)Registrul naţional de evidenţă a persoanelor; b)Registrul naţional de evidenţă a paşapoartelor simple; c)Registrul naţional de evidenţă a permiselor de conducere şi a vehiculelor înmatriculate. (2) În cazul activităţilor prevăzute la alin. (1), structurile/unităţile M.A.I. pot interconecta sistemele de evidenţă a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri similare ori corelate.(3) Interconectările prevăzute la alin. (1) şi (2) se notifică Autorităţii naţionale de supraveghere prin modificarea/ completarea notificării sau depunerea unei noi notificări.(4) În cazul activităţilor prevăzute la alin. (1), structurile/unităţile M.A.I. pot interconecta sistemele de evidenţă a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri diferite, numai cu acordul prealabil al Autorităţii naţionale de supraveghere. În cazul obţinerii acordului, structurile/unităţile M.A.I. notifică prelucrarea datelor Autorităţii naţionale de supraveghere prin modificarea/ completarea notificării sau depunerea unei noi notificări.(5) Dispoziţiile alin. (1)-(4) sunt aplicabile şi în cazul activităţilor de control la frontieră, executate, în condiţiile legii, de structura specializată a M.A.I, care impun interconectarea sistemelor de evidenţă a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit dispoziţiilor art. 2. Articolul 10² (1) Structurile/Unităţile M.A.I. pot configura sistemele de evidenţă a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri corelate sau diferite, astfel încât semnalările cu privire la persoane sau bunuri să fie accesibile în orice sistem ori mijloc de prelucrare.(2) Sistemele de evidenţă a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal deţinute de structurile/unităţile M.A.I. se configurează astfel încât niciun utilizator să nu aibă acces decât la datele cu caracter personal strict necesare desfăşurării atribuţiilor de serviciu. Structurile/Unităţile M.A.I. au obligaţia de a stabili categoriile de date la care are acces fiecare utilizator, în scopul îndeplinirii atribuţiilor de serviciu. Articolul 10³ (1) În cazul sistemelor de evidenţă constituite potrivit scopurilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I. pot permite autorităţilor, instituţiilor sau organizaţiilor prevăzute la art. 7 accesul direct la sistemele gestionate, doar în condiţii care să asigure securitatea datelor cu caracter personal, în următoarele situaţii:a)în baza unui tratat ratificat de România; b)în cadrul activităţii de cooperare poliţienească şi judiciară în materie penală efectuată în cadrul Uniunii Europene. (2) Prelucrările efectuate potrivit alin. (1) se notifică Autorităţii naţionale de supraveghere în condiţiile art. 3.(3) În situaţia prevăzută la alin. (1), prelucrarea datelor cu caracter personal de către autorităţile, instituţiile sau organizaţiile prevăzute la art. 7 se permite doar pentru scopul stabilit prin tratat ori, după caz, printr-un instrument juridic al Uniunii Europene. Articolul 10⁴ (1) În situaţiile prevăzute la art. 10 alin. (1), structurile/unităţile M.A.I. dispun măsurile necesare pentru ca toate prelucrările de date cu caracter personal să fie înregistrate în sistem într-un fişier de acces, în scopul monitorizării legalităţii efectuării prelucrărilor.(2) Sistemele de evidenţă sau mijloacele automate de prelucrare a datelor cu caracter personal gestionate de către structurile/unităţile M.A.I. trebuie să fie configurate astfel încât să genereze fişierele de acces şi în situaţia în care structurilor/unităţilor M.A.I. li se permite accesul direct în sistemele de evidenţă gestionate de autorităţile, instituţiile sau organizaţiile prevăzute la art. 7.(3) Fişierele de acces trebuie să cuprindă cel puţin data, ora exactă, motivul prelucrării, datele de identificare a autorităţii, instituţiei sau, după caz, a organizaţiei care a efectuat prelucrarea, precum şi codul de identificare a utilizatorului care a efectuat prelucrarea. Dacă este cazul, fişierele de acces pot conţine şi datele cu caracter personal care au făcut obiectul prelucrării.(4) Fişierele de acces pot fi utilizate doar în scopul verificării legalităţii prelucrării sau pentru asigurarea securităţii datelor cu caracter personal. Articolul 10⁵ La cerere, structurile/unităţile M.A.I. comunică, în termen de 15 zile, autorităţilor competente în domeniul protecţiei datelor cu caracter personal din afara teritoriului României, înregistrările referitoare la prelucrările efectuate în sistemele de evidenţă gestionate de entităţile din statul a cărui autoritate a formulat cererea. 16. La articolul 11, după alineatul (6) se introduce un nou alineat, alineatul (7) , cu următorul cuprins:(7) În situaţia în care structurile/unităţile M.A.I. nu pot da curs cererilor formulate în exercitarea dreptului de intervenţie în scopul rectificării, ştergerii ori, după caz, blocării datelor cu caracter personal, transmit persoanei vizate un răspuns scris în care sunt menţionate motivele care stau la baza imposibilităţii soluţionării solicitării, precum şi faptul că aceasta are dreptul de a se adresa Autorităţii naţionale de supraveghere sau, după caz, instanţei de judecată. 17. După articolul 11 se introduc patru noi articole, articolele 11¹ , 11² , 11³ și 11⁴ , cu următorul cuprins: Articolul 11¹ (1) În cazul în care structurile/unităţile M.A.I. formulează cereri pentru comunicarea datelor cu caracter personal adresate unor autorităţi competente ori entităţi de drept privat din afara teritoriului României, pot solicita ca persoana vizată să nu fie informată cu privire la prelucrare numai dacă sunt aplicabile dispoziţiile art. 11 alin. (2). La încetarea motivelor pentru care s-a formulat o astfel de solicitare, structurile/unităţile M.A.I. informează în scris autoritatea competentă ori entitatea de drept privat din afara teritoriului României cu privire la faptul că persoana vizată, ale cărei date cu caracter personal au fost comunicate, poate fi informată cu privire la această prelucrare.(2) În cazul în care autorităţile competente ale unui stat membru solicită, cu ocazia comunicărilor de date cu caracter personal de către structurile/unităţile M.A.I., ca persoana vizată să nu fie informată, structurile/unităţile M.A.I. dispun informarea persoanei vizate doar cu consimţământul autorităţii competente solicitante. Articolul 11² În situaţia în care cererea persoanei vizate în contextul prelucrării datelor cu caracter personal se referă la o prelucrare efectuată de către o autoritate competentă ori entitate de drept privat din afara teritoriului României în sistemele de evidenţă gestionate de structurile/unităţile M.A.I., prin derogare de la prevederile art. 13 alin. (3), ale art. 14 alin. (3) şi ale art. 15 alin. (4) din Legea nr. 677/2001, cu modificările şi completările ulterioare, i se răspunde solicitantului cât mai curând posibil, dar nu mai târziu de 60 de zile de la data primirii cererii. În acest termen, structurile/unităţile M.A.I. solicită informaţii autorităţii competente ori entităţii de drept privat din afara teritoriului României care a efectuat prelucrarea. Articolul 11³ (1) În cazul în care exactitatea unor date cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu se poate stabili cu certitudine, acestora li se pot atribui referinţe. La cererea persoanei vizate, atribuirea de referinţe este obligatorie.(2) Datele cu caracter personal cărora le-au fost atribuite referinţe nu pot fi comunicate decât în scopul stabilirii corectitudinii acestora.(3) Referinţele atribuite potrivit alin. (1) pot fi înlăturate în unul dintre următoarele cazuri:a)la solicitarea ori cu acordul persoanei vizate, atunci când exactitatea sau, după caz, inexactitatea datelor cu caracter personal a fost stabilită; b)atunci când există o hotărâre a instanţei de judecată sau autorizarea Autorităţii naţionale de supraveghere. Articolul 11⁴ (1) Structurile/Unităţile M.A.I., în calitate de operatori, răspund pentru prejudiciul cauzat persoanei vizate în urma unei prelucrări de date cu caracter personal, chiar şi în situaţia în care prejudiciul a fost cauzat prin prelucrarea, în condiţiile legii, a unor date cu caracter personal inexacte furnizate de o autoritate competentă a unui stat membru.(2) În situaţia în care structurile/unităţile M.A.I. sunt obligate, în condiţiile legii, la plata unor despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrării unor date cu caracter personal inexacte furnizate de o autoritate competentă a unui stat membru, acestea sunt obligate să dispună măsurile necesare pentru recuperarea sumelor plătite ca despăgubire de la autoritatea care a furnizat datele respective.(3) Pentru a se asigura îndeplinirea obligaţiei prevăzute la alin. (2), structurile/unităţile M.A.I., care au plătit despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrării unor date cu caracter personal inexacte, informează autoritatea competentă din statul membru care a furnizat aceste date şi solicită rambursarea sumei plătite ca despăgubire. Cu această ocazie, structurile/unităţile M.A.I. comunică faptul că prejudiciul a fost cauzat exclusiv ca urmare a prelucrării, în condiţiile legii, a datelor inexacte furnizate de autoritatea competentă din statul membru, şi nu din culpa structurii/unităţii M.A.I. care a primit datele cu caracter personal, şi anexează documente din care să rezulte:a)că structura/unitatea M.A.I. a fost obligată la plata despăgubirii pentru prejudiciile cauzate persoanei vizate şi că a plătit o sumă de bani; b)că datele cu caracter personal ale persoanei vizate provin de la această autoritate competentă din statul membru; c)datele de identificare a contului în care urmează a fi virate sumele de bani. (4) În situaţia în care structurilor/unităţilor M.A.I. li se solicită, de către autorităţi competente din statele membre, rambursarea unor sume plătite de acestea ca despăgubiri pentru prejudicii cauzate persoanelor vizate ca urmare a prelucrării unor date cu caracter personal inexacte furnizate de structurile/unităţile M.A.I., înainte de plata sumelor solicitate, structurile/unităţile M.A.I. trebuie să verifice dacă:a)prejudiciul a fost cauzat exclusiv ca urmare a prelucrării datelor inexacte furnizate în condiţiile indicate de structura/unitatea M.A.I., şi nu din culpa autorităţii competente solicitante; b)solicitarea este însoţită de documente din care să rezulte că autoritatea competentă din statul membru a fost obligată la plata despăgubirii pentru prejudiciile cauzate persoanei vizate ca urmare a furnizării de către structurile/unităţile M.A.I. a unor informaţii inexacte şi a că plătit o sumă de bani. 18. La articolul 12, alineatul (1) se modifică şi va avea următorul cuprins: Articolul 12(1) Datele cu caracter personal stocate în îndeplinirea activităţilor prevăzute la art. 1 alin. (1) se şterg sau se transformă în date anonime atunci când nu mai sunt necesare scopurilor pentru care au fost colectate ori, după caz, se blochează, în condiţiile legii. În situaţii justificate, datele pot fi trecute în evidenţă pasivă şi stocate, pentru o perioadă care nu poate fi mai mare decât termenul de stocare stabilit iniţial potrivit scopului în care au fost colectate. 19. După articolul 15 se introduce următoarea menţiune : Prezenta lege transpune în legislaţia naţională Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală, publicată în Jurnalul Oficial al Uniunii Europene seria L nr. 350 din 30 decembrie 2008 şi creează cadrul juridic necesar aplicării art. 24-32 din Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperării transfrontaliere, în special în domeniul combaterii terorismului şi a criminalităţii transfrontaliere, publicată în Jurnalul Oficial al Uniunii Europene seria L nr. 210 din 6 august 2008.“ Articolul IILegea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, publicată în Monitorul Oficial al României, Partea I, nr. 405 din 15 iunie 2009, cu modificările şi completările aduse prin prezenta lege, va fi republicată în Monitorul Oficial al României, Partea I, dându-se textelor o nouă numerotare. Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată. PREŞEDINTELE CAMEREI DEPUTAŢILOR ROBERTA ALMA ANASTASE PREŞEDINTELE SENATULUI VASILE BLAGA