LEGE nr. 238 din 10 iunie 2009
privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice
EMITENT
  • PARLAMENTUL
  • Publicat în  MONITORUL OFICIAL nr. 405 din 15 iunie 2009



    Parlamentul României adoptă prezenta lege.

    Capitolul I Dispoziţii generale


    Articolul 1

    (1) Prezenta lege reglementează prelucrarea automată şi neautomată a datelor cu caracter personal pentru realizarea activităţilor de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice de către structurile/unităţile Ministerului Administraţiei şi Internelor, potrivit competenţelor acestora.
    (2) Structurile/unităţile Ministerului Administraţiei şi Internelor, denumite în continuare structurile/unităţile M.A.I., care desfăşoară, potrivit competenţelor, activităţile prevăzute la alin. (1), în calitate de operatori, dobândite în condiţiile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, prelucrează date cu caracter personal în exercitarea atribuţiilor legale.


    Articolul 2

    (1) Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I. constituie, organizează şi deţin, potrivit atribuţiilor legale, sisteme de evidenţă şi utilizează mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, în condiţiile legii.
    (2) Structurile/unităţile M.A.I. utilizează sisteme de evidenţă şi/sau mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, cu respectarea drepturilor omului şi aplicarea principiilor legalităţii, necesităţii, confidenţialităţii, proporţionalităţii şi numai dacă, prin utilizarea acestora, este asigurată protecţia datelor prelucrate.
    (3) Înaintea introducerii unui sistem de evidenţă sau a unui mijloc automat/neautomat de prelucrare a datelor cu caracter personal care este susceptibil să prezinte anumite riscuri privind datele prelucrate, structurile/unităţile M.A.I. consultă Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, care, dacă este cazul, stabileşte garanţii adecvate, potrivit legii.


    Capitolul II Notificarea prelucrărilor datelor cu caracter personal


    Articolul 3

    (1) Prelucrările de date cu caracter personal sunt notificate Autorităţii naţionale de supraveghere. Notificarea se efectuează anterior oricărei prelucrări, în condiţiile legii.
    (2) Notificarea prelucrării automate sau neautomate a datelor cu caracter personal prin sisteme de evidenţă a datelor cu caracter personal, realizată potrivit legii de către structurile/unităţile M.A.I., cuprinde, pe lângă informaţiile prevăzute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificările şi completările ulterioare, în mod corespunzător şi informaţii referitoare la natura fiecărui sistem de evidenţă a datelor cu caracter personal care are legătură cu prelucrarea, precum şi la destinatarii cărora le sunt comunicate datele.
    (3) Notificarea prelucrării datelor cu caracter personal prin sisteme de evidenţă constituite în anumite cazuri numai pentru perioada necesară realizării unor activităţi de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice se face cu respectarea condiţiilor prevăzute la alin. (2), numai dacă prelucrarea nu a făcut obiectul unei notificări anterioare.


    Capitolul III Colectarea datelor cu caracter personal


    Articolul 4

    (1) Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I. colectează date cu caracter personal, cu sau fără consimţământul persoanei vizate, în condiţiile legii.
    (2) Colectarea datelor cu caracter personal fără consimţământul persoanei vizate pentru realizarea activităţilor prevăzute la art. 1 alin. (1) se face numai dacă această măsură este necesară pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.
    (3) Colectarea datelor cu caracter personal pentru realizarea activităţilor prevăzute la art. 1 alin. (1) se efectuează de personalul structurilor/unităţilor M.A.I. numai în scopul îndeplinirii atribuţiilor de serviciu.
    (4) Colectarea datelor cu caracter personal în scopurile prevăzute la art. 1 alin. (1) trebuie să fie limitată la datele necesare pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.
    (5) Colectarea de date privind persoana fizică exclusiv datorită faptului că aceasta are o anumită origine rasială, anumite convingeri religioase ori politice, un anumit comportament sexual sau datorită apartenenţei acesteia la anumite mişcări ori organizaţii care nu contravin legii este interzisă.
    (6) Prin excepţie de la prevederile alin. (5), structurile/unităţile M.A.I. colectează şi prelucrează, cu respectarea garanţiilor prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare, date exclusiv în baza acestor criterii numai dacă, într-un caz determinat, sunt necesare pentru efectuarea actelor premergătoare sau a urmăririi penale, ca urmare a săvârşirii unei infracţiuni. Prevederile art. 3 se aplică în mod corespunzător.
    (7) Prevederile alin. (6) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi privată.


    Capitolul IV Stocarea datelor cu caracter personal


    Articolul 5

    (1) Pentru realizarea scopurilor activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I. stochează numai acele date cu caracter personal care sunt exacte, complete şi necesare îndeplinirii atribuţiilor legale sau obligaţiilor rezultate din instrumente juridice internaţionale la care România este parte.
    (2) Stocarea diferitelor categorii de date cu caracter personal se realizează prin ordonarea acestora în funcţie de gradul lor de acurateţe şi exactitate. Datele cu caracter personal bazate pe opinii şi interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1) sunt ordonate în mod distinct.
    (3) Structurile/unităţile M.A.I. au obligaţia de a verifica periodic calitatea datelor prevăzute la alin. (2), conform regulilor stabilite potrivit art. 14 alin. (1) lit. b).
    (4) În situaţia în care datele cu caracter personal stocate se dovedesc a fi inexacte sau incomplete, structurile/unităţile M.A.I. care le deţin au obligaţia să le şteargă, distrugă, modifice, actualizeze sau, după caz, să le completeze.
    (5) Structurile/unităţile M.A.I. stochează datele cu caracter personal colectate în scopuri administrative separat de datele cu caracter personal colectate în scopurile prevăzute la art. 1 alin. (1).


    Capitolul V Comunicarea datelor cu caracter personal


    Articolul 6

    (1) Comunicarea datelor cu caracter personal între structurile/unităţile M.A.I. se face numai în cazul în care este necesară pentru exercitarea competenţelor şi îndeplinirea atribuţiilor legale ce le revin.
    (2) Comunicarea de date cu caracter personal către alte autorităţi sau instituţii publice se poate efectua numai în următoarele situaţii:
    a) în baza unei prevederi legale exprese ori cu autorizarea Autorităţii naţionale de supraveghere;
    b) când datele sunt indispensabile îndeplinirii atribuţiilor legale ale destinatarului şi numai dacă scopul în care se face colectarea sau prelucrarea de către destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de structurile/unităţile M.A.I., iar comunicarea datelor de structurile/unităţile M.A.I. se realizează în conformitate cu atribuţiile legale ale acestora.
    (3) Prin excepţie de la prevederile alin. (2), comunicarea datelor cu caracter personal către alte autorităţi sau instituţii publice este permisă în următoarele situaţii:
    a) persoana vizată şi-a exprimat consimţământul expres şi neechivoc pentru comunicarea datelor sale;
    b) comunicarea este necesară pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia.
    (4) Comunicarea datelor cu caracter personal către entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României se efectuează numai dacă există o obligaţie legală expresă sau cu autorizarea Autorităţii naţionale de supraveghere.
    (5) Prin excepţie de la prevederile alin. (4), comunicarea datelor cu caracter personal către entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia este permisă dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru comunicarea datelor sale sau dacă este necesară pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia sau a unei alte persoane ameninţate.


    Articolul 7

    Datele cu caracter personal deţinute de structurile/unităţile M.A.I. potrivit scopurilor prevăzute la art. 1 alin. (1) pot fi transferate către Organizaţia Internaţională a Poliţiei Criminale - Interpol, Oficiul European de Poliţie - Europol sau alte instituţii internaţionale similare, precum şi către organismele de poliţie ale altor state, dacă există o prevedere legală expresă în legislaţia naţională sau într-un acord internaţional ratificat de România ori prevederi care reglementează cooperarea judiciară internaţională în materie penală sau, în lipsa unei astfel de prevederi, când transferul este necesar pentru prevenirea unui pericol grav şi iminent asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru combaterea unei infracţiuni grave prevăzute de lege, cu respectarea legii române.


    Articolul 8

    (1) Cererile pentru comunicarea datelor cu caracter personal adresate structurilor/unităţilor M.A.I. de către alte structuri/unităţi ale M.A.I., alte autorităţi sau instituţii publice, entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia şi organisme de poliţie ale altor state trebuie să conţină datele de identificare a solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte. Cererile care nu conţin aceste date şi nu sunt conforme prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte se resping.
    (2) Înainte de comunicare, structurile/unităţile M.A.I. verifică dacă datele solicitate sunt exacte, complete şi actualizate. În cazul în care se constată că nu sunt corecte, complete sau actualizate, datele nu se comunică. În comunicări trebuie indicate, după caz, datele care rezultă din hotărâri ale instanţelor judecătoreşti ori din actele prin care s-a dispus neînceperea urmăririi penale, clasarea, scoaterea de sub urmărire penală, încetarea urmăririi penale sau trimiterea în judecată, precum şi datele bazate pe opinii şi interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1). Datele bazate pe opinii şi interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1) trebuie verificate la sursă înainte de a fi comunicate, iar gradul de acurateţe şi exactitate al acestor date trebuie întotdeauna menţionat cu ocazia comunicării.
    (3) În situaţia în care au fost transmise date incorecte sau neactualizate, structurile/unităţile M.A.I. au obligaţia să îi informeze pe destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea datelor care au fost modificate.


    Articolul 9

    (1) La comunicarea datelor cu caracter personal către alte autorităţi sau instituţii publice, entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia, Organizaţia Internaţională a Poliţiei Criminale - Interpol, Oficiul European de Poliţie - Europol sau alte instituţii internaţionale similare ori către organisme de poliţie ale altor state, structurile/unităţile M.A.I. atenţionează destinatarii asupra interdicţiei de a prelucra datele comunicate în alte scopuri decât cele specificate în cererea de comunicare.
    (2) Prelucrarea datelor de către destinatari în alte scopuri decât cele care au format obiectul cererii se poate realiza numai cu acordul structurilor/unităţilor M.A.I. care le-au comunicat şi numai cu respectarea prevederilor art. 6 alin. (2)-(5) şi ale art. 7.


    Articolul 10

    (1) Pentru realizarea activităţilor de cercetare şi combatere a infracţiunilor, structurile/unităţile M.A.I. pot interconecta sistemele de evidenţă a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le deţin pentru scopuri diferite.
    (2) În scopul prevăzut la alin. (1), interconectarea se poate realiza şi cu sistemele de evidenţă sau cu mijloacele automate de prelucrare a datelor cu caracter personal deţinute de alţi operatori.
    (3) Interconectările prevăzute la alin. (1) şi (2) sunt permise numai în cazul efectuării actelor premergătoare, al urmăririi penale sau al judecării unei infracţiuni în baza unei autorizări emise de procurorul competent să efectueze sau să supravegheze, într-un caz determinat, efectuarea actelor premergătoare sau urmărirea penală ori, în cazul judecării unei infracţiuni, de judecătorul anume desemnat de la instanţa căreia îi revine competenţa de a judeca fondul cauzei pentru care sunt prelucrate datele respective.
    (4) Accesul direct sau printr-un serviciu de comunicaţii electronice la un sistem de evidenţă a datelor cu caracter personal care face obiectul interconectării, potrivit alin. (1), este permis numai în condiţiile legii şi cu respectarea prevederilor art. 1 alin. (1) şi ale art. 5-11.
    (5) Interconectarea sistemelor de evidenţă a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal nu se realizează în cazul activităţilor de prevenire a infracţiunilor, de menţinere şi de asigurare a ordinii publice.


    Capitolul VI Drepturile persoanei vizate


    Articolul 11

    (1) Structurile/unităţile M.A.I. asigură condiţiile de exercitare a drepturilor conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu modificările şi completările ulterioare, şi a prezentei legi.
    (2) Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare, nu se aplică pe perioada în care o asemenea măsură este necesară pentru evitarea prejudicierii activităţilor specifice de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, ca urmare a cunoaşterii de persoana vizată a faptului că datele sale cu caracter personal sunt prelucrate, sau este necesară pentru protejarea persoanei vizate ori a drepturilor şi libertăţilor altor persoane, în cazul în care există date şi informaţii că aceste drepturi şi libertăţi sunt puse în pericol.
    (3) În cazul aplicării excepţiilor de la exercitarea drepturilor persoanei vizate, prevăzute la alin. (2), acestea trebuie motivate în scris. Necomunicarea motivelor este posibilă numai în măsura în care este necesară bunei desfăşurări a activităţilor prevăzute la art. 1 alin. (1) sau pentru protejarea drepturilor şi libertăţilor altor persoane decât persoana vizată.
    (4) În toate situaţiile, persoana vizată va fi informată cu privire la dreptul de a se adresa Autorităţii naţionale de supraveghere sau, după caz, instanţei de judecată, care va decide dacă măsurile luate de structurile/unităţile M.A.I., conform prevederilor alin. (2), sunt întemeiate.
    (5) În situaţia în care, în urma exercitării dreptului de acces sau a dreptului de intervenţie, rezultă că datele cu caracter personal sunt inexacte, irelevante sau înregistrate în mod abuziv, acestea vor fi şterse sau rectificate prin anexarea unui document, încheiat în acest sens, la sistemul de evidenţă ale cărui date cu caracter personal au suferit modificări, deţinut de structurile/unităţile M.A.I.
    (6) Măsurile prevăzute la alin. (5) se aplică tuturor documentelor care au legătură cu sistemul de evidenţă a datelor cu caracter personal. În cazul în care acestea nu sunt efectuate imediat, se va avea în vedere realizarea lor cel mai târziu la data prelucrării ulterioare a datelor cu caracter personal sau la o următoare comunicare a acestora.


    Capitolul VII Încheierea operaţiunilor de prelucrare a datelor cu caracter personal


    Articolul 12

    (1) Datele cu caracter personal stocate în îndeplinirea activităţilor prevăzute la art. 1 alin. (1) se şterg atunci când nu mai sunt necesare scopurilor pentru care au fost colectate.
    (2) Înainte de ştergerea datelor cu caracter personal, potrivit alin. (1), şi dacă activităţile prevăzute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoaşterea faptului că datele cu caracter personal au fost colectate şi stocate, persoana vizată trebuie informată atunci când colectarea şi stocarea datelor s-au efectuat fără consimţământul său.
    (3) În condiţiile prevăzute la alin. (2), informarea persoanei vizate se realizează de structurile/unităţile M.A.I. care au colectat şi stocat datele cu caracter personal ale acesteia, în termen de 15 zile de la momentul în care activităţile prevăzute la art. 1 alin. (1) nu mai pot fi prejudiciate sau, după caz, de la momentul comunicării către aceste structuri/unităţi ale M.A.I. a unei soluţii de neîncepere a urmăririi penale, clasare, scoatere de sub urmărire penală sau încetare a urmăririi penale.
    (4) Prin excepţie de la prevederile alin. (1), datele cu caracter personal pot fi stocate şi după îndeplinirea scopurilor pentru care au fost colectate, dacă este necesară păstrarea acestora. Evaluarea necesităţii stocării datelor după îndeplinirea scopurilor pentru care au fost colectate se realizează, în special, în următoarele situaţii:
    a) datele sunt necesare în vederea terminării urmăririi penale într-un caz determinat;
    b) nu există o hotărâre judecătorească definitivă;
    c) nu a intervenit reabilitarea;
    d) nu a intervenit prescripţia executării pedepsei;
    e) nu a intervenit amnistia;
    f) datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu modificările şi completările ulterioare.


    Capitolul VIII Securitatea datelor cu caracter personal


    Articolul 13

    Structurile/unităţile M.A.I. sunt obligate să ia toate măsurile necesare pentru a asigura securitatea tehnică şi organizatorică adecvată a prelucrării datelor cu caracter personal, astfel încât să prevină accesul, comunicarea sau distrugerea neautorizată ori alterarea datelor. În acest scop, se au în vedere diferitele caracteristici ale sistemelor de evidenţă a datelor cu caracter personal şi conţinutul acestora.


    Capitolul IX Dispoziţii finale


    Articolul 14

    (1) Structurile/unităţile M.A.I. care desfăşoară activităţile prevăzute la art. 1 alin. (1) au obligaţia de a elabora reguli, dacă acestea nu sunt stabilite prin prevederi legale exprese, cu privire la:
    a) termenele de stocare a datelor cu caracter personal pe care le prelucrează;
    b) verificările periodice asupra datelor cu caracter personal pentru ca acestea să fie exacte, actuale şi complete;
    c) ştergerea datelor cu caracter personal.
    (2) În lipsa unor prevederi legale exprese care să stabilească regulile prevăzute la alin. (1), structurile/unităţile M.A.I. care desfăşoară activităţile prevăzute la art. 1 alin. (1) au obligaţia ca, în termen de 30 de zile de la data intrării în vigoare a prezentei legi, să stabilească aceste reguli, cu avizul Autorităţii naţionale de supraveghere acordat în condiţiile legii.


    Articolul 15

    Prevederile prezentei legi se completează cu dispoziţiile Legii nr. 677/2001, cu modificările şi completările ulterioare.
    Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată.
    PREŞEDINTELE CAMEREI DEPUTAŢILOR
    ROBERTA ALMA ANASTASE
    PREŞEDINTELE SENATULUI
    MIRCEA-DAN GEOANĂ
    Bucureşti, 10 iunie 2009.
    Nr. 238.
    ________