Back

Parlamentul României

Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice

În vigoare de la 18.06.2009

Acest document poate avea modificări ulterioare. Cumpăraţi documentul în formă actualizată sau alegeţi un abonament Lege5 care permite accesul la orice formă actualizată.

Cumpără forma actualizată

CAPITOLUL I Dispoziţii generale

Art. 1.

(1) Prezenta lege reglementează prelucrarea automată şi neautomată a datelor cu caracter personal pentru realizarea activităţilor de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice de către structurile/unităţile Ministerului Administraţiei şi Internelor, potrivit competenţelor acestora.

(2) Structurile/Unităţile Ministerului Administraţiei şi Internelor, denumite în continuare structurile/unităţile M.A.I., care desfăşoară, potrivit competenţelor, activităţile prevăzute la alin. (1), în calitate de operatori, dobândite în condiţiile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, prelucrează date cu caracter personal în exercitarea atribuţiilor legale.

(3) Prezenta lege nu se aplică prelucrărilor şi transferului de date cu caracter personal efectuate în îndeplinirea atribuţiilor legale de structurile/unităţile M.A.I. în domeniul apărării naţionale şi securităţii naţionale, în limitele şi cu restricţiile stabilite de lege.

Art. 2.

În înţelesul prezentei legi, termenii şi expresiile de mai jos au următoarea semnificaţie:

a) interconectare - operaţiunea de a pune în legătură datele cu caracter personal cuprinse într-un fişier, bază de date sau sistem de evidenţă automat cu cele cuprinse într-unul sau mai multe fişiere, baze de date sau sisteme de evidenţă automate care sunt gestionate de operatori diferiţi sau de către acelaşi operator, dar având scopuri diferite, similare sau corelate, după caz;

b) semnalare - setul de date introduse într-un sistem de evidenţă a datelor cu caracter personal referitoare la persoane sau bunuri cu privire la care au fost dispuse unele măsuri, în condiţiile legii, în vederea realizării unui interes public, a respectării regimului liberei circulaţii a persoanelor şi bunurilor sau a asigurării ori menţinerii ordinii şi siguranţei publice;

c) blocare - marcarea unor date cu caracter personal stocate, în scopul limitării prelucrării pe viitor;

d) atribuirea de referinţe - marcarea unor date cu caracter personal stocate, fără a avea ca scop limitarea prelucrării lor ulterioare;

e) transformarea în date anonime - modificarea datelor cu caracter personal, astfel încât detaliile privind circumstanţele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile sau atribuirea să fie posibilă doar în condiţiile unei investiţii disproporţionate de timp, costuri şi forţă de muncă;

f) consimţământul persoanei vizate - orice manifestare de voinţă, liberă, specifică şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc;

g) evidenţă pasivă - fişier sau bază de date cu caracter personal constituit în scopul accesării limitate şi ulterior ştergerii datelor stocate din sistemul de evidenţă.

Art. 3.

(1) Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I. constituie, organizează şi deţin, potrivit atribuţiilor legale, sisteme de evidenţă şi utilizează mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, în condiţiile legii.

(2) Structurile/Unităţile M.A.I. utilizează sisteme de evidenţă şi/sau mijloace automate şi neautomate de prelucrare a datelor cu caracter personal, cu respectarea drepturilor omului şi aplicarea principiilor legalităţii, necesităţii, confidenţialităţii, proporţionalităţii şi numai dacă, prin utilizarea acestora, este asigurată protecţia datelor prelucrate.

(3) Înaintea introducerii unui sistem de evidenţă sau a unui mijloc automat/neautomat de prelucrare a datelor cu caracter personal care este susceptibil să prezinte anumite riscuri privind datele prelucrate, structurile/unităţile M.A.I. consultă Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, care, dacă este cazul, stabileşte garanţii adecvate, potrivit legii.

CAPITOLUL II Notificarea prelucrărilor datelor cu caracter personal

Art. 4.

(1) Prelucrările de date cu caracter personal sunt notificate Autorităţii naţionale de supraveghere. Notificarea se efectuează anterior oricărei prelucrări, în condiţiile legii.

(2) Notificarea prelucrării automate sau neautomate a datelor cu caracter personal prin sisteme de evidenţă a datelor cu caracter personal, realizată potrivit legii de către structurile/unităţile M.A.I., cuprinde, pe lângă informaţiile prevăzute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificările şi completările ulterioare, în mod corespunzător şi informaţii referitoare la natura fiecărui sistem de evidenţă a datelor cu caracter personal care are legătură cu prelucrarea, precum şi la destinatarii cărora le sunt comunicate datele.

(3) Notificarea prelucrării datelor cu caracter personal prin sisteme de evidenţă constituite în anumite cazuri numai pentru perioada necesară realizării unor activităţi de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice se face cu respectarea condiţiilor prevăzute la alin. (2), numai dacă prelucrarea nu a făcut obiectul unei notificări anterioare.

CAPITOLUL III Colectarea datelor cu caracter personal

Art. 5.

(1) Pentru realizarea activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I. colectează date cu caracter personal, cu sau fără consimţământul persoanei vizate, în condiţiile legii.

(2) Colectarea datelor cu caracter personal fără consimţământul persoanei vizate pentru realizarea activităţilor prevăzute la art. 1 alin. (1) se face numai dacă această măsură este necesară pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.

(3) Colectarea datelor cu caracter personal pentru realizarea activităţilor prevăzute la art. 1 alin. (1) se efectuează de personalul structurilor/unităţilor M.A.I. numai în scopul îndeplinirii atribuţiilor de serviciu.

(4) Colectarea datelor cu caracter personal în scopurile prevăzute la art. 1 alin. (1) trebuie să fie limitată la datele necesare pentru prevenirea unui pericol iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru combaterea unei anumite infracţiuni.

(5) Colectarea de date privind persoana fizică exclusiv datorită faptului că aceasta are o anumită origine rasială, anumite convingeri religioase ori politice, un anumit comportament sexual sau datorită apartenenţei acesteia la anumite mişcări ori organizaţii care nu contravin legii este interzisă.

(6) Prin excepţie de la prevederile alin. (5), structurile/unităţile M.A.I. colectează şi prelucrează, cu respectarea garanţiilor prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare, date exclusiv în baza acestor criterii numai dacă, într-un caz determinat, sunt necesare pentru efectuarea actelor premergătoare sau a urmăririi penale, ca urmare a săvârşirii unei infracţiuni. Prevederile art. 4 se aplică în mod corespunzător.

(7) Prevederile alin. (6) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi privată.

CAPITOLUL IV Stocarea datelor cu caracter personal

Art. 6.

(1) Pentru realizarea scopurilor activităţilor prevăzute la art. 1 alin. (1), structurile/unităţile M.A.I. stochează numai acele date cu caracter personal care sunt exacte, complete şi necesare îndeplinirii atribuţiilor legale sau obligaţiilor rezultate din instrumente juridice internaţionale la care România este parte.

(2) Stocarea diferitelor categorii de date cu caracter personal se realizează prin ordonarea acestora în funcţie de gradul lor de acurateţe şi exactitate. Datele cu caracter personal bazate pe opinii şi interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1) sunt ordonate în mod distinct.

(3) Structurile/Unităţile M.A.I. au obligaţia de a verifica periodic calitatea datelor prevăzute la alin. (2), conform regulilor stabilite potrivit art. 31 alin. (1) lit. b).

(4) În situaţia în care datele cu caracter personal stocate se dovedesc a fi inexacte sau incomplete, structurile/unităţile M.A.I. care le deţin au obligaţia să le şteargă, distrugă, modifice, actualizeze sau, după caz, să le completeze.

(5) Structurile/Unităţile M.A.I. stochează datele cu caracter personal colectate în scopuri administrative separat de datele cu caracter personal colectate în scopurile prevăzute la art. 1 alin. (1).

Art. 7.

(1) Datele cu caracter personal se blochează atunci când există motive întemeiate să se considere că ştergerea lor ar putea afecta drepturile, libertăţile şi interesele legitime ale persoanei vizate.

(2) Datele blocate se prelucrează doar în scopul care a împiedicat ştergerea lor.

(3) Datele blocate se şterg de îndată ce nu mai sunt necesare scopului prevăzut la alin. (2).

Art. 8.

Structurile/Unităţile M.A.I. prelucrează suplimentar date cu caracter personal, într-un alt scop decât cel pentru care datele au fost colectate, dacă sunt îndeplinite următoarele condiţii:

a) prelucrarea este compatibilă cu scopul în care au fost colectate datele;

b) scopul în care urmează a fi prelucrate suplimentar datele cu caracter personal de către structurile/unităţile M.A.I. sau entităţile cărora urmează să le fie comunicate datele se încadrează în atribuţiile sau, după caz, obligaţiile ce le revin potrivit legii;

c) prelucrarea este necesară şi proporţională în raport cu noul scop.

CAPITOLUL V Comunicarea datelor cu caracter personal

Art. 9.

(1) Comunicarea datelor cu caracter personal între structurile/unităţile M.A.I. se face numai în cazul în care este necesară pentru exercitarea competenţelor şi îndeplinirea atribuţiilor legale ce le revin.

(2) Comunicarea de date cu caracter personal către alte autorităţi sau instituţii publice se poate efectua numai în următoarele situaţii:

a) în baza unei prevederi legale exprese ori cu autorizarea Autorităţii naţionale de supraveghere;

b) când datele sunt indispensabile îndeplinirii atribuţiilor legale ale destinatarului şi numai dacă scopul în care se face colectarea sau prelucrarea de către destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de structurile/unităţile M.A.I., iar comunicarea datelor de structurile/unităţile M.A.I. se realizează în conformitate cu atribuţiile legale ale acestora.

(3) Prin excepţie de la prevederile alin. (2), comunicarea datelor cu caracter personal către alte autorităţi sau instituţii publice este permisă în următoarele situaţii:

a) persoana vizată şi-a exprimat consimţământul expres şi neechivoc pentru comunicarea datelor sale;

b) comunicarea este necesară pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia.

(4) Comunicarea datelor cu caracter personal către entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României se efectuează numai dacă există o obligaţie legală expresă sau cu autorizarea Autorităţii naţionale de supraveghere.

(5) Prin excepţie de la prevederile alin. (4), comunicarea datelor cu caracter personal către entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia este permisă dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru comunicarea datelor sale sau dacă este necesară pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia sau a unei alte persoane ameninţate.

Art. 10.

(1) Datele cu caracter personal deţinute de structurile/unităţile M.A.I. potrivit scopurilor prevăzute la art. 1 alin. (1) pot fi transferate următorilor destinatari:

a) autorităţilor poliţieneşti, judiciare sau altor autorităţi competente din statele membre ori organismelor sau instituţiilor Uniunii Europene cu atribuţii în domeniul cooperării poliţieneşti ori judiciare în materie penală;

b) Organizaţiei Internaţionale a Poliţiei Criminale - Interpol sau altor instituţii internaţionale similare;

c) organismelor de poliţie din state terţe.

(2) Transferul datelor cu caracter personal prevăzut la alin. (1) se realizează în una dintre următoarele situaţii:

a) există o prevedere legală expresă în legislaţia naţională sau într-un tratat ratificat de România;

b) există prevederi legale care reglementează cooperarea poliţienească sau cooperarea judiciară internaţională în materie penală;

c) când transferul este necesar pentru prevenirea unui pericol grav şi iminent asupra vieţii, integrităţii corporale sau sănătăţii unei persoane ori a proprietăţii acesteia, precum şi pentru combaterea unei infracţiuni grave prevăzute de lege, cu respectarea legii române.

Art. 11.

(1) Cererile pentru comunicarea datelor cu caracter personal adresate structurilor/unităţilor M.A.I. de către alte structuri/unităţi ale M.A.I., alte autorităţi sau instituţii publice, entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia şi organisme de poliţie ale altor state trebuie să conţină datele de identificare a solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte. Cererile care nu conţin aceste date şi nu sunt conforme prevederilor legale interne sau celor cuprinse în acordurile internaţionale la care România este parte se resping.

(2) Înainte de comunicare, structurile/unităţile M.A.I. verifică dacă datele solicitate sunt exacte, complete şi actualizate. În cazul în care se constată că nu sunt corecte, complete sau actualizate, datele nu se comunică. În comunicări trebuie indicate, după caz, datele care rezultă din hotărâri ale instanţelor judecătoreşti ori din actele prin care s-a dispus neînceperea urmăririi penale, clasarea, scoaterea de sub urmărire penală, încetarea urmăririi penale sau trimiterea în judecată, precum şi datele bazate pe opinii şi interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1). Datele bazate pe opinii şi interpretări personale rezultate din activităţile prevăzute la art. 1 alin. (1) trebuie verificate la sursă înainte de a fi comunicate, iar gradul de acurateţe şi exactitate al acestor date trebuie întotdeauna menţionat cu ocazia comunicării.

(3) În situaţia în care au fost transmise date incorecte sau neactualizate, structurile/unităţile M.A.I. au obligaţia să îi informeze pe destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea datelor care au fost modificate sau, dacă este cazul, cu precizarea că datele transmise trebuie rectificate, şterse ori blocate.

(4) În situaţia în care se constată că au fost transmise date cu caracter personal în mod ilegal, structurile/unităţile M.A.I. au obligaţia de a-i informa pe destinatarii acestor date, cu precizarea că datele transmise trebuie şterse de îndată.

(5) În situaţia în care se constată că structurilor/unităţilor M.A.I. le-au fost transmise date cu caracter personal incorecte sau neactualizate, datele se rectifică, se şterg sau, după caz, se blochează, în condiţiile legii. Dacă structurilor/unităţilor M.A.I. le sunt transmise în mod eronat sau ilegal astfel de date, acestea se şterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată şi motivul adoptării acesteia.

(6) În cazul în care structurilor/unităţilor M.A.I. le sunt transmise, potrivit legii, date cu caracter personal nesolicitate, acestea au obligaţia de a verifica dacă datele sunt necesare în scopul pentru care au fost transmise. Datele care nu sunt necesare scopului se şterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată şi motivul adoptării acesteia.

Art. 12.

(1) La comunicarea datelor cu caracter personal către alte autorităţi sau instituţii publice, entităţi de drept privat care îşi desfăşoară activitatea pe teritoriul României sau în afara acestuia, ori către destinatarii prevăzuţi la art. 10 alin. (1), structurile/unităţile M.A.I. atenţionează destinatarii asupra interdicţiei de a prelucra datele comunicate în alte scopuri decât cele specificate în cererea de comunicare.

(2) La comunicarea datelor cu caracter personal potrivit alin. (1) i se indică destinatarului limitări ale prelucrării, dacă este cazul, şi termene de păstrare adecvate şi se precizează obligaţia de a şterge datele cu caracter personal transmise la expirarea termenului indicat sau, dacă este cazul, de a proceda la blocarea acestora. Termenele de păstrare comunicate nu pot depăşi termenele stabilite prin prevederi legale ori, după caz, cele stabilite de structurile/unităţile M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 31, pentru acele categorii de date cu caracter personal pe care le deţin şi urmează să facă obiectul comunicării.

(3) În cazul în care se comunică date cu caracter personal destinatarilor prevăzuţi la art. 10 alin. (1) lit. a), pot fi comunicate limitări ale prelucrării doar dacă acestea sunt stabilite de lege, iar termenele de păstrare sunt cele stabilite prin prevederi legale ori, după caz, de structurile/unităţile M.A.I. prin reguli proprii, potrivit dispoziţiilor art. 31.

(4) Prelucrarea datelor de către destinatari în alte scopuri decât cele care au format obiectul cererii se poate realiza numai cu acordul structurilor/unităţilor M.A.I. care le-au comunicat şi numai cu respectarea prevederilor art. 9 alin. (2)-(5) şi ale art. 10.

(5) Structurile/Unităţile M.A.I. pot solicita destinatarilor prevăzuţi la alin. (1), cărora le-au fost comunicate date cu caracter personal, informaţii cu privire la modul în care acestea au fost prelucrate.

Art. 13.

(1) Pentru datele cu caracter personal comunicate de către alte autorităţi competente sau entităţi de drept privat din afara teritoriului României, în cazul în care este precizat un termen de păstrare a datelor, structurile/unităţile M.A.I. au obligaţia de a şterge ori, după caz, de a bloca datele la expirarea termenului de păstrare a datelor indicat. În cazul în care nu este precizat un termen de păstrare a datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal, stabilite pentru acele categorii de date de către structurile/unităţile M.A.I., potrivit dispoziţiilor art. 31.

(2) În cazul datelor cu caracter personal prevăzute la alin. (1), structurile/unităţile M.A.I. au obligaţia de a verifica periodic, o dată la 3 ani, necesitatea stocării acestora.

(3) Datele cu caracter personal a căror stocare nu mai este necesară se şterg sau, după caz, se blochează, chiar dacă nu s-a împlinit termenul precizat de entitatea care le-a transmis ori cel prevăzut de regulile stabilite potrivit dispoziţiilor art. 31.

(4) Dispoziţiile alin. (1) nu se aplică dacă la momentul expirării termenului de păstrare a datelor, indicat de autoritatea competentă sau entitatea de drept privat din afara teritoriului României, datele cu caracter personal sunt în continuare necesare pentru efectuarea de acte premergătoare în vederea începerii urmăririi penale, pentru desfăşurarea urmăririi penale sau pentru executarea unei pedepse.

Art. 14.

Datele cu caracter personal comunicate de către autorităţile competente ale unui stat membru al Uniunii Europene, denumit în continuare stat membru, pot fi prelucrate suplimentar de către structurile/unităţile M.A.I., în alt scop decât cel pentru care au fost transmise, în una dintre următoarele situaţii:

a) pentru prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor ori executarea pedepselor, altele decât cele pentru care au fost comunicate;

b) pentru derularea altor proceduri judiciare sau administrative direct legate de prevenirea, constatarea, cercetarea ori urmărirea penală a infracţiunilor ori executarea pedepselor;

c) pentru prevenirea unui pericol iminent şi grav la adresa ordinii şi siguranţei publice;

d) în orice alt scop, cu consimţământul prealabil al statului membru care transmite sau cu consimţământul persoanei vizate, potrivit legii.

Art. 15.

(1) Datele cu caracter personal comunicate de către autorităţile competente ale unui alt stat membru pot fi transferate de structurile/unităţile M.A.I. către autorităţi competente dintr-un stat care nu este membru al Uniunii Europene, denumit în continuare stat terţ, sau către organisme internaţionale, numai dacă sunt îndeplinite, cumulativ, următoarele condiţii:

a) se impune pentru prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor ori executarea pedepselor;

b) datele cu caracter personal sunt comunicate organismului internaţional ori autorităţii statului terţ competente în prevenirea, constatarea, cercetarea sau urmărirea penală a infracţiunilor sau pentru executarea pedepselor;

c) există acordul statului membru care a comunicat datele pentru transfer;

d) statul terţ sau organismul internaţional în cauză asigură un nivel corespunzător de protecţie pentru prelucrarea de date urmărită.

(2) Datele cu caracter personal pot fi comunicate în condiţiile prevăzute la alin. (1), fără acordul statului membru, numai dacă transferul de date este strict necesar pentru prevenirea unui pericol grav şi iminent la adresa ordinii şi siguranţei publice a unui stat membru ori a unui stat terţ sau a intereselor fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obţinut în timp util.

(3) În situaţia prevăzută la alin. (2), unitatea/structura M.A.I. care efectuează comunicarea de date cu caracter personal are obligaţia de a informa de îndată autoritatea competentă din statul membru care a furnizat datele.

(4) Prin excepţie de la prevederile alin. (1) lit. d), datele cu caracter personal pot fi comunicate către autorităţile competente dintr-un stat terţ sau către organismele internaţionale, cu respectarea dispoziţiilor art. 30 lit. d) ori e) din Legea nr. 677/2001, cu modificările şi completările ulterioare.

se încarcă...