Legea nr. 238/2009 - reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile MAI, republicata la 12 iulie 2012

Art. 1. -
(1) Prezenta lege reglementeaza prelucrarea automata si neautomata a datelor cu caracter personal pentru realizarea activitatilor de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice de catre structurile/unitatile Ministerului Administratiei si Internelor, potrivit competentelor acestora
(2) Structurile/Unitatile Ministerului Administratiei si Internelor, denumite in continuare structurile/unitatile M.A.I., care desfasoara, potrivit competentelor, activitatile prevazute la alin. (1), in calitate de operatori, dobandite in conditiile Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, prelucreaza date cu caracter personal in exercitarea atributiilor legale
(3) Prezenta lege nu se aplica prelucrarilor si transferului de date cu caracter personal efectuate in indeplinirea atributiilor legale de structurile/unitatile M.A.I. in domeniul apararii nationale si securitatii nationale, in limitele si cu restrictiile stabilite de lege.

Art. 2. - In intelesul prezentei legi, termenii si expresiile de mai jos au urmatoarea semnificatie:
a) interconectare - operatiunea de a pune in legatura datele cu caracter personal cuprinse intr-un fisier, baza de date sau sistem de evidenta automat cu cele cuprinse intr-unul sau mai multe fisiere, baze de date sau sisteme de evidenta automate care sunt gestionate de operatori diferiti sau de catre acelasi operator, dar avand scopuri diferite, similare sau corelate, dupa caz;
b) semnalare - setul de date introduse intr-un sistem de evidenta a datelor cu caracter personal referitoare la persoane sau bunuri cu privire la care au fost dispuse unele masuri, in conditiile legii, in vederea realizarii unui interes public, a respectarii regimului liberei circulatii a persoanelor si bunurilor sau a asigurarii ori mentinerii ordinii si sigurantei publice;
c) blocare - marcarea unor date cu caracter personal stocate, in scopul limitarii prelucrarii pe viitor;
d) atribuirea de referinte - marcarea unor date cu caracter personal stocate, fara a avea ca scop limitarea prelucrarii lor ulterioare;
e) transformarea in date anonime - modificarea datelor cu caracter personal, astfel incat detaliile privind circumstantele personale sau materiale sa nu mai permita atribuirea acestora unei persoane fizice identificate sau identificabile sau atribuirea sa fie posibila doar in conditiile unei investitii disproportionate de timp, costuri si forta de munca;
f) consimtamantul persoanei vizate - orice manifestare de vointa, libera, specifica si informata, prin care persoana vizata accepta sa fie prelucrate datele cu caracter personal care o privesc;
g) evidenta pasiva - fisier sau baza de date cu caracter personal constituit in scopul accesarii limitate si ulterior stergerii datelor stocate din sistemul de evidenta.

Art. 3. -
(1) Pentru realizarea activitatilor prevazute la art. 1 alin. (1), structurile/unitatile M.A.I. constituie, organizeaza si detin, potrivit atributiilor legale, sisteme de evidenta si utilizeaza mijloace automate si neautomate de prelucrare a datelor cu caracter personal, in conditiile legii
(2) Structurile/Unitatile M.A.I. utilizeaza sisteme de evidenta si/sau mijloace automate si neautomate de prelucrare a datelor cu caracter personal, cu respectarea drepturilor omului si aplicarea principiilor legalitatii, necesitatii, confidentialitatii, proportionalitatii si numai daca, prin utilizarea acestora, este asigurata protectia datelor prelucrate
(3) Inaintea introducerii unui sistem de evidenta sau a unui mijloc automat/neautomat de prelucrare a datelor cu caracter personal care este susceptibil sa prezinte anumite riscuri privind datele prelucrate, structurile/unitatile M.A.I. consulta Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare Autoritatea nationala de supraveghere, care, daca este cazul, stabileste garantii adecvate, potrivit legii.


Art. 4. -
(1) Prelucrarile de date cu caracter personal sunt notificate Autoritatii nationale de supraveghere. Notificarea se efectueaza anterior oricarei prelucrari, in conditiile legii
(2) Notificarea prelucrarii automate sau neautomate a datelor cu caracter personal prin sisteme de evidenta a datelor cu caracter personal, realizata potrivit legii de catre structurile/unitatile M.A.I., cuprinde, pe langa informatiile prevazute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, in mod corespunzator si informatii referitoare la natura fiecarui sistem de evidenta a datelor cu caracter personal care are legatura cu prelucrarea, precum si la destinatarii carora le sunt comunicate datele
(3) Notificarea prelucrarii datelor cu caracter personal prin sisteme de evidenta constituite in anumite cazuri numai pentru perioada necesara realizarii unor activitati de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice se face cu respectarea conditiilor prevazute la alin. (2), numai daca prelucrarea nu a facut obiectul unei notificari anterioare.


Art. 5. -
(1) Pentru realizarea activitatilor prevazute la art. 1 alin. (1), structurile/unitatile M.A.I. colecteaza date cu caracter personal, cu sau fara consimtamantul persoanei vizate, in conditiile legii
(2) Colectarea datelor cu caracter personal fara consimtamantul persoanei vizate pentru realizarea activitatilor prevazute la art. 1 alin. (1) se face numai daca aceasta masura este necesara pentru prevenirea unui pericol iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea unei anumite infractiuni
(3) Colectarea datelor cu caracter personal pentru realizarea activitatilor prevazute la art. 1 alin. (1) se efectueaza de personalul structurilor/unitatilor M.A.I. numai in scopul indeplinirii atributiilor de serviciu
(4) Colectarea datelor cu caracter personal in scopurile prevazute la art. 1 alin. (1) trebuie sa fie limitata la datele necesare pentru prevenirea unui pericol iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea unei anumite infractiuni
(5) Colectarea de date privind persoana fizica exclusiv datorita faptului ca aceasta are o anumita origine rasiala, anumite convingeri religioase ori politice, un anumit comportament sexual sau datorita apartenentei acesteia la anumite miscari ori organizatii care nu contravin legii este interzisa
(6) Prin exceptie de la prevederile alin. (5), structurile/unitatile M.A.I. colecteaza si prelucreaza, cu respectarea garantiilor prevazute de Legea nr. 677/2001, cu modificarile si completarile ulterioare, date exclusiv in baza acestor criterii numai daca, intr-un caz determinat, sunt necesare pentru efectuarea actelor premergatoare sau a urmaririi penale, ca urmare a savarsirii unei infractiuni. Prevederile art. 4 se aplica in mod corespunzator
(7) Prevederile alin. (6) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.

Art. 6. -
(1) Pentru realizarea scopurilor activitatilor prevazute la art. 1 alin. (1), structurile/unitatile M.A.I. stocheaza numai acele date cu caracter personal care sunt exacte, complete si necesare indeplinirii atributiilor legale sau obligatiilor rezultate din instrumente juridice internationale la care Romania este parte
(2) Stocarea diferitelor categorii de date cu caracter personal se realizeaza prin ordonarea acestora in functie de gradul lor de acuratete si exactitate. Datele cu caracter personal bazate pe opinii si interpretari personale rezultate din activitatile prevazute la art. 1 alin. (1) sunt ordonate in mod distinct
(3) Structurile/Unitatile M.A.I. au obligatia de a verifica periodic calitatea datelor prevazute la alin. (2), conform regulilor stabilite potrivit art. 31 alin. (1) lit. b)
(4) In situatia in care datele cu caracter personal stocate se dovedesc a fi inexacte sau incomplete, structurile/unitatile M.A.I. care le detin au obligatia sa le stearga, distruga, modifice, actualizeze sau, dupa caz, sa le completeze
(5) Structurile/Unitatile M.A.I. stocheaza datele cu caracter personal colectate in scopuri administrative separat de datele cu caracter personal colectate in scopurile prevazute la art. 1 alin. (1).

Art. 7. -
(1) Datele cu caracter personal se blocheaza atunci cand exista motive intemeiate sa se considere ca stergerea lor ar putea afecta drepturile, libertatile si interesele legitime ale persoanei vizate
(2) Datele blocate se prelucreaza doar in scopul care a impiedicat stergerea lor
(3) Datele blocate se sterg de indata ce nu mai sunt necesare scopului prevazut la alin. (2).

Art. 8. - Structurile/Unitatile M.A.I. prelucreaza suplimentar date cu caracter personal, intr-un alt scop decat cel pentru care datele au fost colectate, daca sunt indeplinite urmatoarele conditii:
a) prelucrarea este compatibila cu scopul in care au fost colectate datele;
b) scopul in care urmeaza a fi prelucrate suplimentar datele cu caracter personal de catre structurile/unitatile M.A.I. sau entitatile carora urmeaza sa le fie comunicate datele se incadreaza in atributiile sau, dupa caz, obligatiile ce le revin potrivit legii;
c) prelucrarea este necesara si proportionala in raport cu noul scop.


Art. 9. -
(1) Comunicarea datelor cu caracter personal intre structurile/unitatile M.A.I. se face numai in cazul in care este necesara pentru exercitarea competentelor si indeplinirea atributiilor legale ce le revin
(2) Comunicarea de date cu caracter personal catre alte autoritati sau institutii publice se poate efectua numai in urmatoarele situatii:
a) in baza unei prevederi legale exprese ori cu autorizarea Autoritatii nationale de supraveghere;
b) cand datele sunt indispensabile indeplinirii atributiilor legale ale destinatarului si numai daca scopul in care se face colectarea sau prelucrarea de catre destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de structurile/unitatile M.A.I., iar comunicarea datelor de structurile/unitatile M.A.I. se realizeaza in conformitate cu atributiile legale ale acestora
(3) Prin exceptie de la prevederile alin. (2), comunicarea datelor cu caracter personal catre alte autoritati sau institutii publice este permisa in urmatoarele situatii:
a) persoana vizata si-a exprimat consimtamantul expres si neechivoc pentru comunicarea datelor sale;
b) comunicarea este necesara pentru a preveni un pericol grav si iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia
(4) Comunicarea datelor cu caracter personal catre entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei se efectueaza numai daca exista o obligatie legala expresa sau cu autorizarea Autoritatii nationale de supraveghere
(5) Prin exceptie de la prevederile alin. (4), comunicarea datelor cu caracter personal catre entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei sau in afara acestuia este permisa daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru comunicarea datelor sale sau daca este necesara pentru a preveni un pericol grav si iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia sau a unei alte persoane amenintate.

Art. 10. -
(1) Datele cu caracter personal detinute de structurile/unitatile M.A.I. potrivit scopurilor prevazute la art. 1 alin. (1) pot fi transferate urmatorilor destinatari:
a) autoritatilor politienesti, judiciare sau altor autoritati competente din statele membre ori organismelor sau institutiilor Uniunii Europene cu atributii in domeniul cooperarii politienesti ori judiciare in materie penala;
b) Organizatiei Internationale a Politiei Criminale - Interpol sau altor institutii internationale similare;
c) organismelor de politie din state terte
(2) Transferul datelor cu caracter personal prevazut la alin. (1) se realizeaza in una dintre urmatoarele situatii:
a) exista o prevedere legala expresa in legislatia nationala sau intr-un tratat ratificat de Romania;
b) exista prevederi legale care reglementeaza cooperarea politieneasca sau cooperarea judiciara internationala in materie penala;
c) cand transferul este necesar pentru prevenirea unui pericol grav si iminent asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea unei infractiuni grave prevazute de lege, cu respectarea legii romane.

Art. 11. -
(1) Cererile pentru comunicarea datelor cu caracter personal adresate structurilor/unitatilor M.A.I. de catre alte structuri/unitati ale M.A.I., alte autoritati sau institutii publice, entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei sau in afara acestuia si organisme de politie ale altor state trebuie sa contina datele de identificare a solicitantului, precum si motivarea si scopul cererii, conform prevederilor legale interne sau celor cuprinse in acordurile internationale la care Romania este parte. Cererile care nu contin aceste date si nu sunt conforme prevederilor legale interne sau celor cuprinse in acordurile internationale la care Romania este parte se resping
(2) Inainte de comunicare, structurile/unitatile M.A.I. verifica daca datele solicitate sunt exacte, complete si actualizate. In cazul in care se constata ca nu sunt corecte, complete sau actualizate, datele nu se comunica. In comunicari trebuie indicate, dupa caz, datele care rezulta din hotarari ale instantelor judecatoresti ori din actele prin care s-a dispus neinceperea urmaririi penale, clasarea, scoaterea de sub urmarire penala, incetarea urmaririi penale sau trimiterea in judecata, precum si datele bazate pe opinii si interpretari personale rezultate din activitatile prevazute la art. 1 alin. (1). Datele bazate pe opinii si interpretari personale rezultate din activitatile prevazute la art. 1 alin. (1) trebuie verificate la sursa inainte de a fi comunicate, iar gradul de acuratete si exactitate al acestor date trebuie intotdeauna mentionat cu ocazia comunicarii
(3) In situatia in care au fost transmise date incorecte sau neactualizate, structurile/unitatile M.A.I. au obligatia sa ii informeze pe destinatarii respectivelor date asupra neconformitatii acestora, cu mentionarea datelor care au fost modificate sau, daca este cazul, cu precizarea ca datele transmise trebuie rectificate, sterse ori blocate
(4) In situatia in care se constata ca au fost transmise date cu caracter personal in mod ilegal, structurile/unitatile M.A.I. au obligatia de a-i informa pe destinatarii acestor date, cu precizarea ca datele transmise trebuie sterse de indata
(5) In situatia in care se constata ca structurilor/unitatilor M.A.I. le-au fost transmise date cu caracter personal incorecte sau neactualizate, datele se rectifica, se sterg sau, dupa caz, se blocheaza, in conditiile legii. Daca structurilor/unitatilor M.A.I. le sunt transmise in mod eronat sau ilegal astfel de date, acestea se sterg sau, dupa caz, se blocheaza de indata. Entitatea care a transmis datele este informata cu privire la masura adoptata si motivul adoptarii acesteia
(6) In cazul in care structurilor/unitatilor M.A.I. le sunt transmise, potrivit legii, date cu caracter personal nesolicitate, acestea au obligatia de a verifica daca datele sunt necesare in scopul pentru care au fost transmise. Datele care nu sunt necesare scopului se sterg sau, dupa caz, se blocheaza de indata. Entitatea care a transmis datele este informata cu privire la masura adoptata si motivul adoptarii acesteia.

Art. 12. -
(1) La comunicarea datelor cu caracter personal catre alte autoritati sau institutii publice, entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei sau in afara acestuia, ori catre destinatarii prevazuti la art. 10 alin. (1), structurile/unitatile M.A.I. atentioneaza destinatarii asupra interdictiei de a prelucra datele comunicate in alte scopuri decat cele specificate in cererea de comunicare
(2) La comunicarea datelor cu caracter personal potrivit alin. (1) i se indica destinatarului limitari ale prelucrarii, daca este cazul, si termene de pastrare adecvate si se precizeaza obligatia de a sterge datele cu caracter personal transmise la expirarea termenului indicat sau, daca este cazul, de a proceda la blocarea acestora. Termenele de pastrare comunicate nu pot depasi termenele stabilite prin prevederi legale ori, dupa caz, cele stabilite de structurile/unitatile M.A.I. prin reguli proprii, potrivit dispozitiilor art. 31, pentru acele categorii de date cu caracter personal pe care le detin si urmeaza sa faca obiectul comunicarii
(3) In cazul in care se comunica date cu caracter personal destinatarilor prevazuti la art. 10 alin. (1) lit. a), pot fi comunicate limitari ale prelucrarii doar daca acestea sunt stabilite de lege, iar termenele de pastrare sunt cele stabilite prin prevederi legale ori, dupa caz, de structurile/unitatile M.A.I. prin reguli proprii, potrivit dispozitiilor art. 31
(4) Prelucrarea datelor de catre destinatari in alte scopuri decat cele care au format obiectul cererii se poate realiza numai cu acordul structurilor/unitatilor M.A.I. care le-au comunicat si numai cu respectarea prevederilor art. 9 alin. (2)-(5) si ale art. 10
(5) Structurile/Unitatile M.A.I. pot solicita destinatarilor prevazuti la alin. (1), carora le-au fost comunicate date cu caracter personal, informatii cu privire la modul in care acestea au fost prelucrate.

Art. 13. -
(1) Pentru datele cu caracter personal comunicate de catre alte autoritati competente sau entitati de drept privat din afara teritoriului Romaniei, in cazul in care este precizat un termen de pastrare a datelor, structurile/unitatile M.A.I. au obligatia de a sterge ori, dupa caz, de a bloca datele la expirarea termenului de pastrare a datelor indicat. In cazul in care nu este precizat un termen de pastrare a datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal, stabilite pentru acele categorii de date de catre structurile/unitatile M.A.I., potrivit dispozitiilor art. 31
(2) In cazul datelor cu caracter personal prevazute la alin. (1), structurile/unitatile M.A.I. au obligatia de a verifica periodic, o data la 3 ani, necesitatea stocarii acestora
(3) Datele cu caracter personal a caror stocare nu mai este necesara se sterg sau, dupa caz, se blocheaza, chiar daca nu s-a implinit termenul precizat de entitatea care le-a transmis ori cel prevazut de regulile stabilite potrivit dispozitiilor art. 31
(4) Dispozitiile alin. (1) nu se aplica daca la momentul expirarii termenului de pastrare a datelor, indicat de autoritatea competenta sau entitatea de drept privat din afara teritoriului Romaniei, datele cu caracter personal sunt in continuare necesare pentru efectuarea de acte premergatoare in vederea inceperii urmaririi penale, pentru desfasurarea urmaririi penale sau pentru executarea unei pedepse.

Art. 14. - Datele cu caracter personal comunicate de catre autoritatile competente ale unui stat membru al Uniunii Europene, denumit in continuare stat membru, pot fi prelucrate suplimentar de catre structurile/unitatile M.A.I., in alt scop decat cel pentru care au fost transmise, in una dintre urmatoarele situatii:
a) pentru prevenirea, constatarea, cercetarea sau urmarirea penala a infractiunilor ori executarea pedepselor, altele decat cele pentru care au fost comunicate;
b) pentru derularea altor proceduri judiciare sau administrative direct legate de prevenirea, constatarea, cercetarea ori urmarirea penala a infractiunilor ori executarea pedepselor;
c) pentru prevenirea unui pericol iminent si grav la adresa ordinii si sigurantei publice;
d) in orice alt scop, cu consimtamantul prealabil al statului membru care transmite sau cu consimtamantul persoanei vizate, potrivit legii.

Art. 15. -
(1) Datele cu caracter personal comunicate de catre autoritatile competente ale unui alt stat membru pot fi transferate de structurile/unitatile M.A.I. catre autoritati competente dintr-un stat care nu este membru al Uniunii Europene, denumit in continuare stat tert, sau catre organisme internationale, numai daca sunt indeplinite, cumulativ, urmatoarele conditii:
a) se impune pentru prevenirea, constatarea, cercetarea sau urmarirea penala a infractiunilor ori executarea pedepselor;
b) datele cu caracter personal sunt comunicate organismului international ori autoritatii statului tert competente in prevenirea, constatarea, cercetarea sau urmarirea penala a infractiunilor sau pentru executarea pedepselor;
c) exista acordul statului membru care a comunicat datele pentru transfer;
d) statul tert sau organismul international in cauza asigura un nivel corespunzator de protectie pentru prelucrarea de date urmarita
(2) Datele cu caracter personal pot fi comunicate in conditiile prevazute la alin. (1), fara acordul statului membru, numai daca transferul de date este strict necesar pentru prevenirea unui pericol grav si iminent la adresa ordinii si sigurantei publice a unui stat membru ori a unui stat tert sau a intereselor fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obtinut in timp util
(3) In situatia prevazuta la alin. (2), unitatea/structura M.A.I. care efectueaza comunicarea de date cu caracter personal are obligatia de a informa de indata autoritatea competenta din statul membru care a furnizat datele
(4) Prin exceptie de la prevederile alin. (1) lit. d), datele cu caracter personal pot fi comunicate catre autoritatile competente dintr-un stat tert sau catre organismele internationale, cu respectarea dispozitiilor art. 30 lit. d) ori e) din Legea nr. 677/2001, cu modificarile si completarile ulterioare.

Art. 16. -
(1) Datele cu caracter personal comunicate de catre autoritatile competente ale unui alt stat membru pot fi transferate catre entitati de drept privat dintr-un stat membru, altul decat cel care a furnizat datele, numai daca sunt indeplinite, cumulativ, urmatoarele conditii:
a) autoritatea competenta din statul membru care a comunicat datele si-a dat acordul pentru efectuarea prelucrarii;
b) niciun interes specific legitim al persoanei vizate nu impiedica transmiterea;
c) in situatii specifice, comunicarea este esentiala pentru autoritatea competenta care transmite date unei entitati private
(2) Cazurile specifice pentru care se considera indeplinita conditia prevazuta la alin. (1) lit. c) sunt determinate de urmatoarele situatii:
a) indeplinirea unei obligatii prevazute de lege in sarcina entitatii private;
b) prevenirea, constatarea, cercetarea sau urmarirea penala a infractiunilor ori executarea pedepselor;
c) prevenirea unui pericol iminent si grav la adresa ordinii si sigurantei publice;
d) prevenirea unei vatamari grave a drepturilor persoanei
(3) Structurile/Unitatile M.A.I. au obligatia de a informa entitatile de drept privat carora le sunt comunicate datele potrivit alin. (1) cu privire la scopurile pentru care, in mod exclusiv, pot fi utilizate datele cu caracter personal comunicate.

Art. 17. - La cerere, structurile/unitatile M.A.I. informeaza autoritatile competente ale unui alt stat membru care au transmis date cu caracter personal cu privire la modul in care acestea au fost prelucrate, in termen de 15 zile de la inregistrarea solicitarii.

Art. 18. -
(1) Pentru realizarea activitatilor de cercetare si combatere a infractiunilor, structurile/unitatile M.A.I. pot interconecta sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le detin pentru scopuri diferite
(2) In scopul prevazut la alin. (1), interconectarea sistemelor de evidenta a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 3, se poate realiza si cu sistemele de evidenta ori cu mijloacele automate de prelucrare a datelor cu caracter personal detinute de alti operatori, autoritati si institutii publice nationale
(3) Interconectarile prevazute la alin. (1) si (2) sunt posibile numai cu acordul prealabil al Autoritatii nationale de supraveghere. In cazul obtinerii acordului prealabil, structura/unitatea M.A.I. notifica prelucrarea Autoritatii nationale de supraveghere, in conditiile prevazute la art. 4
(4) In scopul prevazut la alin. (1), interconectarea sistemelor de evidenta a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 3, se poate realiza si cu sistemele de evidenta sau cu mijloacele automate de prelucrare a datelor cu caracter personal detinute de alti operatori, entitati de drept privat
(5) Interconectarile prevazute la alin. (4) sunt permise numai in cazul efectuarii actelor premergatoare, al urmaririi penale sau al judecarii unei infractiuni in baza unei autorizari emise de procurorul competent sa efectueze ori sa supravegheze, intr-un caz determinat, efectuarea actelor premergatoare sau urmarirea penala ori, in cazul judecarii unei infractiuni, de judecatorul anume desemnat de la instanta careia ii revine competenta de a judeca fondul cauzei pentru care sunt prelucrate datele respective
(6) Accesul direct sau printr-un serviciu de comunicatii electronice la un sistem de evidenta a datelor cu caracter personal care face obiectul interconectarii, potrivit alin. (1), este permis numai in conditiile legii si cu respectarea prevederilor art. 1 alin. (1) si ale art. 6-24.

Art. 19. -
(1) In cazul activitatilor de prevenire a infractiunilor, de mentinere si de asigurare a ordinii publice, sistemele de evidenta a datelor cu caracter personal sau mijloacele automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 3, pot fi interconectate cu:
a) Registrul national de evidenta a persoanelor;
b) Registrul national de evidenta a pasapoartelor simple;
c) Registrul national de evidenta a permiselor de conducere si a vehiculelor inmatriculate
(2) In cazul activitatilor prevazute la alin. (1), structurile/unitatile M.A.I. pot interconecta sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le detin pentru scopuri similare ori corelate
(3) Interconectarile prevazute la alin. (1) si (2) se notifica Autoritatii nationale de supraveghere prin modificarea/completarea notificarii sau depunerea unei noi notificari
(4) In cazul activitatilor prevazute la alin. (1), structurile/unitatile M.A.I. pot interconecta sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le detin pentru scopuri diferite, numai cu acordul prealabil al Autoritatii nationale de supraveghere. In cazul obtinerii acordului, structurile/unitatile M.A.I. notifica prelucrarea datelor Autoritatii nationale de supraveghere prin modificarea/completarea notificarii sau depunerea unei noi notificari
(5) Dispozitiile alin. (1)-(4) sunt aplicabile si in cazul activitatilor de control la frontiera, executate, in conditiile legii, de structura specializata a M.A.I, care impun interconectarea sistemelor de evidenta a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit dispozitiilor art. 3.

Art. 20. -
(1) Structurile/Unitatile M.A.I. pot configura sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le detin pentru scopuri corelate sau diferite, astfel incat semnalarile cu privire la persoane sau bunuri sa fie accesibile in orice sistem ori mijloc de prelucrare
(2) Sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal detinute de structurile/unitatile M.A.I. se configureaza astfel incat niciun utilizator sa nu aiba acces decat la datele cu caracter personal strict necesare desfasurarii atributiilor de serviciu. Structurile/Unitatile M.A.I. au obligatia de a stabili categoriile de date la care are acces fiecare utilizator, in scopul indeplinirii atributiilor de serviciu.

Art. 21. -
(1) In cazul sistemelor de evidenta constituite potrivit scopurilor prevazute la art. 1 alin. (1), structurile/unitatile M.A.I. pot permite autoritatilor, institutiilor sau organizatiilor prevazute la art. 10 accesul direct la sistemele gestionate, doar in conditii care sa asigure securitatea datelor cu caracter personal, in urmatoarele situatii:
a) in baza unui tratat ratificat de Romania;
b) in cadrul activitatii de cooperare politieneasca si judiciara in materie penala efectuata in cadrul Uniunii Europene
(2) Prelucrarile efectuate potrivit alin. (1) se notifica Autoritatii nationale de supraveghere in conditiile art. 4
(3) In situatia prevazuta la alin. (1), prelucrarea datelor cu caracter personal de catre autoritatile, institutiile sau organizatiile prevazute la art. 10 se permite doar pentru scopul stabilit prin tratat ori, dupa caz, printr-un instrument juridic al Uniunii Europene.

Art. 22. -
(1) In situatiile prevazute la art. 18 alin. (1), structurile/unitatile M.A.I. dispun masurile necesare pentru ca toate prelucrarile de date cu caracter personal sa fie inregistrate in sistem intr-un fisier de acces, in scopul monitorizarii legalitatii efectuarii prelucrarilor
(2) Sistemele de evidenta sau mijloacele automate de prelucrare a datelor cu caracter personal gestionate de catre structurile/unitatile M.A.I. trebuie sa fie configurate astfel incat sa genereze fisierele de acces si in situatia in care structurilor/unitatilor M.A.I. li se permite accesul direct in sistemele de evidenta gestionate de autoritatile, institutiile sau organizatiile prevazute la art. 10
(3) Fisierele de acces trebuie sa cuprinda cel putin data, ora exacta, motivul prelucrarii, datele de identificare a autoritatii, institutiei sau, dupa caz, a organizatiei care a efectuat prelucrarea, precum si codul de identificare a utilizatorului care a efectuat prelucrarea. Daca este cazul, fisierele de acces pot contine si datele cu caracter personal care au facut obiectul prelucrarii
(4) Fisierele de acces pot fi utilizate doar in scopul verificarii legalitatii prelucrarii sau pentru asigurarea securitatii datelor cu caracter personal.

Art. 23. - La cerere, structurile/unitatile M.A.I. comunica, in termen de 15 zile, autoritatilor competente in domeniul protectiei datelor cu caracter personal din afara teritoriului Romaniei, inregistrarile referitoare la prelucrarile efectuate in sistemele de evidenta gestionate de entitatile din statul a carui autoritate a formulat cererea.

Art. 24. -
(1) Structurile/Unitatile M.A.I. asigura conditiile de exercitare a drepturilor conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu modificarile si completarile ulterioare, si a prezentei legi
(2) Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevazute de Legea nr. 677/2001, cu modificarile si completarile ulterioare, nu se aplica pe perioada in care o asemenea masura este necesara pentru evitarea prejudicierii activitatilor specifice de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice, ca urmare a cunoasterii de persoana vizata a faptului ca datele sale cu caracter personal sunt prelucrate, sau este necesara pentru protejarea persoanei vizate ori a drepturilor si libertatilor altor persoane, in cazul in care exista date si informatii ca aceste drepturi si libertati sunt puse in pericol
(3) In cazul aplicarii exceptiilor de la exercitarea drepturilor persoanei vizate, prevazute la alin. (2), acestea trebuie motivate in scris. Necomunicarea motivelor este posibila numai in masura in care este necesara bunei desfasurari a activitatilor prevazute la art. 1 alin. (1) sau pentru protejarea drepturilor si libertatilor altor persoane decat persoana vizata
(4) In toate situatiile, persoana vizata va fi informata cu privire la dreptul de a se adresa Autoritatii nationale de supraveghere sau, dupa caz, instantei de judecata, care va decide daca masurile luate de structurile/unitatile M.A.I., conform prevederilor alin. (2), sunt intemeiate
(5) In situatia in care, in urma exercitarii dreptului de acces sau a dreptului de interventie, rezulta ca datele cu caracter personal sunt inexacte, irelevante sau inregistrate in mod abuziv, acestea vor fi sterse sau rectificate prin anexarea unui document, incheiat in acest sens, la sistemul de evidenta ale carui date cu caracter personal au suferit modificari, detinut de structurile/unitatile M.A.I
(6) Masurile prevazute la alin. (5) se aplica tuturor documentelor care au legatura cu sistemul de evidenta a datelor cu caracter personal. In cazul in care acestea nu sunt efectuate imediat, se va avea in vedere realizarea lor cel mai tarziu la data prelucrarii ulterioare a datelor cu caracter personal sau la o urmatoare comunicare a acestora
(7) In situatia in care structurile/unitatile M.A.I. nu pot da curs cererilor formulate in exercitarea dreptului de interventie in scopul rectificarii, stergerii ori, dupa caz, blocarii datelor cu caracter personal, transmit persoanei vizate un raspuns scris in care sunt mentionate motivele care stau la baza imposibilitatii solutionarii solicitarii, precum si faptul ca aceasta are dreptul de a se adresa Autoritatii nationale de supraveghere sau, dupa caz, instantei de judecata.

Art. 25. -
(1) In cazul in care structurile/unitatile M.A.I. formuleaza cereri pentru comunicarea datelor cu caracter personal adresate unor autoritati competente ori entitati de drept privat din afara teritoriului Romaniei, pot solicita ca persoana vizata sa nu fie informata cu privire la prelucrare numai daca sunt aplicabile dispozitiile art. 24 alin. (2). La incetarea motivelor pentru care s-a formulat o astfel de solicitare, structurile/unitatile M.A.I. informeaza in scris autoritatea competenta ori entitatea de drept privat din afara teritoriului Romaniei cu privire la faptul ca persoana vizata, ale carei date cu caracter personal au fost comunicate, poate fi informata cu privire la aceasta prelucrare
(2) In cazul in care autoritatile competente ale unui stat membru solicita, cu ocazia comunicarilor de date cu caracter personal de catre structurile/unitatile M.A.I., ca persoana vizata sa nu fie informata, structurile/unitatile M.A.I. dispun informarea persoanei vizate doar cu consimtamantul autoritatii competente solicitante.

Art. 26. - In situatia in care cererea persoanei vizate in contextul prelucrarii datelor cu caracter personal se refera la o prelucrare efectuata de catre o autoritate competenta ori entitate de drept privat din afara teritoriului Romaniei in sistemele de evidenta gestionate de structurile/unitatile M.A.I., prin derogare de la prevederile art. 13 alin. (3), ale art. 14 alin. (3) si ale art. 15 alin. (4) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, i se raspunde solicitantului cat mai curand posibil, dar nu mai tarziu de 60 de zile de la data primirii cererii. In acest termen, structurile/unitatile M.A.I. solicita informatii autoritatii competente ori entitatii de drept privat din afara teritoriului Romaniei care a efectuat prelucrarea.

Art. 27. -
(1) In cazul in care exactitatea unor date cu caracter personal este contestata de persoana vizata, iar exactitatea sau inexactitatea datelor respective nu se poate stabili cu certitudine, acestora li se pot atribui referinte. La cererea persoanei vizate, atribuirea de referinte este obligatorie
(2) Datele cu caracter personal carora le-au fost atribuite referinte nu pot fi comunicate decat in scopul stabilirii corectitudinii acestora
(3) Referintele atribuite potrivit alin. (1) pot fi inlaturate in unul dintre urmatoarele cazuri:
a) la solicitarea ori cu acordul persoanei vizate, atunci cand exactitatea sau, dupa caz, inexactitatea datelor cu caracter personal a fost stabilita;
b) atunci cand exista o hotarare a instantei de judecata sau autorizarea Autoritatii nationale de supraveghere.

Art. 28. -
(1) Structurile/Unitatile M.A.I., in calitate de operatori, raspund pentru prejudiciul cauzat persoanei vizate in urma unei prelucrari de date cu caracter personal, chiar si in situatia in care prejudiciul a fost cauzat prin prelucrarea, in conditiile legii, a unor date cu caracter personal inexacte furnizate de o autoritate competenta a unui stat membru
(2) In situatia in care structurile/unitatile M.A.I. sunt obligate, in conditiile legii, la plata unor despagubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrarii unor date cu caracter personal inexacte furnizate de o autoritate competenta a unui stat membru, acestea sunt obligate sa dispuna masurile necesare pentru recuperarea sumelor platite ca despagubire de la autoritatea care a furnizat datele respective
(3) Pentru a se asigura indeplinirea obligatiei prevazute la alin. (2), structurile/unitatile M.A.I., care au platit despagubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrarii unor date cu caracter personal inexacte, informeaza autoritatea competenta din statul membru care a furnizat aceste date si solicita rambursarea sumei platite ca despagubire. Cu aceasta ocazie, structurile/unitatile M.A.I. comunica faptul ca prejudiciul a fost cauzat exclusiv ca urmare a prelucrarii, in conditiile legii, a datelor inexacte furnizate de autoritatea competenta din statul membru, si nu din culpa structurii/unitatii M.A.I. care a primit datele cu caracter personal si anexeaza documente din care sa rezulte:
a) ca structura/unitatea M.A.I. a fost obligata la plata despagubirii pentru prejudiciile cauzate persoanei vizate si ca a platit o suma de bani;
b) ca datele cu caracter personal ale persoanei vizate provin de la aceasta autoritate competenta din statul membru;
c) datele de identificare a contului in care urmeaza a fi virate sumele de bani
(4) In situatia in care structurilor/unitatilor M.A.I. li se solicita de catre autoritati competente din statele membre rambursarea unor sume platite de acestea ca despagubiri pentru prejudicii cauzate persoanelor vizate ca urmare a prelucrarii unor date cu caracter personal inexacte furnizate de structurile/unitatile M.A.I., inainte de plata sumelor solicitate, structurile/unitatile M.A.I. trebuie sa verifice daca:
a) prejudiciul a fost cauzat exclusiv ca urmare a prelucrarii datelor inexacte furnizate in conditiile indicate de structura/unitatea M.A.I., si nu din culpa autoritatii competente solicitante;
b) solicitarea este insotita de documente din care sa rezulte ca autoritatea competenta din statul membru a fost obligata la plata despagubirii pentru prejudiciile cauzate persoanei vizate ca urmare a furnizarii de catre structurile/unitatile M.A.I. a unor informatii inexacte si ca a platit o suma de bani.

Art. 29. -
(1) Datele cu caracter personal stocate in indeplinirea activitatilor prevazute la art. 1 alin. (1) se sterg sau se transforma in date anonime atunci cand nu mai sunt necesare scopurilor pentru care au fost colectate ori, dupa caz, se blocheaza, in conditiile legii. In situatii justificate, datele pot fi trecute in evidenta pasiva si stocate, pentru o perioada care nu poate fi mai mare decat termenul de stocare stabilit initial potrivit scopului in care au fost colectate
(2) Inainte de stergerea datelor cu caracter personal, potrivit alin. (1), si daca activitatile prevazute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoasterea faptului ca datele cu caracter personal au fost colectate si stocate, persoana vizata trebuie informata atunci cand colectarea si stocarea datelor s-au efectuat fara consimtamantul sau
(3) In conditiile prevazute la alin. (2), informarea persoanei vizate se realizeaza de structurile/unitatile M.A.I. care au colectat si stocat datele cu caracter personal ale acesteia, in termen de 15 zile de la momentul in care activitatile prevazute la art. 1 alin. (1) nu mai pot fi prejudiciate sau, dupa caz, de la momentul comunicarii catre aceste structuri/unitati ale M.A.I. a unei solutii de neincepere a urmaririi penale, clasare, scoatere de sub urmarire penala sau incetare a urmaririi penale
(4) Prin exceptie de la prevederile alin. (1), datele cu caracter personal pot fi stocate si dupa indeplinirea scopurilor pentru care au fost colectate, daca este necesara pastrarea acestora. Evaluarea necesitatii stocarii datelor dupa indeplinirea scopurilor pentru care au fost colectate se realizeaza, in special, in urmatoarele situatii:
a) datele sunt necesare in vederea terminarii urmaririi penale intr-un caz determinat;
b) nu exista o hotarare judecatoreasca definitiva;
c) nu a intervenit reabilitarea;
d) nu a intervenit prescriptia executarii pedepsei;
e) nu a intervenit amnistia;
f) datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu modificarile si completarile ulterioare.


Art. 30. - Structurile/Unitatile M.A.I. sunt obligate sa ia toate masurile necesare pentru a asigura securitatea tehnica si organizatorica adecvata a prelucrarii datelor cu caracter personal, astfel incat sa previna accesul, comunicarea sau distrugerea neautorizata ori alterarea datelor. In acest scop, se au in vedere diferitele caracteristici ale sistemelor de evidenta a datelor cu caracter personal si continutul acestora.


Art. 31. -
(1) Structurile/Unitatile M.A.I. care desfasoara activitatile prevazute la art. 1 alin. (1) au obligatia de a elabora reguli, daca acestea nu sunt stabilite prin prevederi legale exprese, cu privire la:
a) termenele de stocare a datelor cu caracter personal pe care le prelucreaza;
b) verificarile periodice asupra datelor cu caracter personal pentru ca acestea sa fie exacte, actuale si complete;
c) stergerea datelor cu caracter personal
(2) In lipsa unor prevederi legale exprese care sa stabileasca regulile prevazute la alin. (1), structurile/unitatile M.A.I. care desfasoara activitatile prevazute la art. 1 alin. (1) au obligatia ca, in termen de 30 de zile de la data intrarii in vigoare a prezentei legi, sa stabileasca aceste reguli, cu avizul Autoritatii nationale de supraveghere acordat in conditiile legii.

Art. 32. - Prevederile prezentei legi se completeaza cu dispozitiile Legii nr. 677/2001, cu modificarile si completarile ulterioare. Prezenta lege transpune in legislatia nationala Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protectia datelor cu caracter personal prelucrate in cadrul cooperarii politienesti si judiciare in materie penala, publicata in Jurnalul Oficial al Uniunii Europene, seria L, nr. 350 din 30 decembrie 2008 si creeaza cadrul juridic necesar aplicarii art. 24-32 din Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperarii transfrontaliere, in special in domeniul combaterii terorismului si a criminalitatii transfrontaliere, publicata in Jurnalul Oficial al Uniunii Europene, seria L, nr. 210 din 6 august 2008.

__________________
Lege republicata in temeiul dispozitiilor art. II din Legea nr. 81/2012 pentru modificarea si completarea Legii nr. 238/2009 priv ind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului Administratiei si Internelor in activitatile de preven ire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 400 din 14 iunie 2012, dandu-se textelor o noua numerotare. Legea nr. 238/2009 privind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului A dministratiei si Internelor in activitatile de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice a fost publicata in Monitorul Oficial al Romaniei, Partea I, nr. 405 din 15 iunie 2009.