INSTRUCTIUNI nr.

27 din 3 februarie 2010 privind masurile de natura organizatorica si tehnica pentru asigurarea securitatii prelucrarilor de date cu caracter personal efectuate de catre structurile/unitatile Ministerului Administratiei si Internelor EMITENT: MINISTERUL ADMINISTRATIEI SI INTERNELOR PUBLICAT N: MONITORUL OFICIAL nr. 98 din 12 februarie 2010 Data intrarii in vigoare: 13 Mai 2010

Avnd n vedere dispoziiile Legii nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, cu modificrile i completrile ulterioare, ale Legii nr. 238/2009 privind reglementarea prelucrrii datelor cu caracter personal de ctre structurile/unitile Ministerului Administraiei i Internelor n activitile de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, innd cont de faptul c dispoziiile Legii nr. 238/2009 i, n consecin, dispoziiile corespunztoare cuprinse n prezentul act normativ se aplic exclusiv n cazul prelucrrilor de date cu caracter personal efectuate n cursul activitilor de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, n temeiul art. 7 alin. (4) din Ordonana de urgen a Guvernului nr. 30/2007 privind organizarea i funcionarea Ministerului Administraiei i Internelor, aprobat cu modificri prin Legea nr. 15/2008 , cu modificrile i completrile ulterioare,

ministrul administraiei i internelor emite urmtoarele instruciuni: TITLULUL I Msuri organizatorice CAP. I Dispoziii generale ART. 1 Prezentele instruciuni se aplic activitilor de prelucrare a datelor cu caracter personal efectuate de structurile i unitile Ministerului Administraiei i Internelor, denumit n continuare MAI, n calitatea acestora de operatori sau mputernicii ai operatorilor. ART. 2 (1) La nivelul MAI, prelucrarea datelor cu caracter personal se realizeaz cu respectarea regulilor generale i speciale prevzute de Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, cu modificrile i completrile ulterioare, de Legea nr. 238/2009 privind reglementarea prelucrrii datelor cu caracter personal de ctre structurile/unitile Ministerului Administraiei i Internelor n activitile de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, a prevederilor deciziilor i instruciunilor cu caracter normativ emise de Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal, denumit n continuare Autoritatea naional de supraveghere, a prevederilor prezentelor instruciuni i a procedurilor proprii elaborate de operatori potrivit legii. (2) Operatorii i mputerniciii acestora utilizeaz sisteme de eviden i/sau mijloace automate i neautomate de prelucrare a datelor cu caracter personal cu aplicarea principiilor respectrii drepturilor omului, legalitii, necesitii, confidenialitii i proporionalitii i numai dac, prin utilizarea acestora, este asigurat protecia datelor prelucrate. (3) n cadrul activitii de prelucrare a datelor cu caracter

personal, operatorii i mputerniciii acestora se supun activitilor de control prealabil sau de investigare efectuate de Autoritatea naional de supraveghere i, la cerere, acord acesteia sprijin deplin pentru exercitarea atribuiilor sale. ART. 3 (1) Au calitatea de operator structurile i unitile MAI, precum i MAI, dac: a) stabilesc scopul i mijloacele de prelucrare a datelor cu caracter personal; sau b) scopul i mijloacele de prelucrare a datelor cu caracter personal sunt stabilite printr-un act normativ sau n baza unui act normativ; sau c) sunt desemnate ca operator printr-un/n baza unui act normativ. (2) Au calitatea de mputernicii ai operatorului structurile care prelucreaz date cu caracter personal pe seama operatorului. (3) Are calitatea de utilizator al datelor cu caracter personal, denumit n continuare utilizator, personalul operatorului sau al mputernicitului acestuia ale crui atribuii de serviciu presupun operaiuni de prelucrare a datelor cu caracter personal. CAP. II Organizarea activitii de prelucrare a datelor cu caracter personal n MAI ART. 4 (1) La nivelul fiecrei structuri/uniti a MAI, centrale sau teritoriale, care are calitatea de operator, funcioneaz o structur specializat n domeniul proteciei datelor cu caracter personal, denumit n continuare structur responsabil cu protecia datelor cu caracter personal. n cadrul acestei structuri este obligatoriu ca cel puin o persoan s aib specializare IT. (2) Prin derogare de la prevederile alin. (1), pentru structurile/unitile MAI care au un numr de cel mult 500 de nregistrri ori interogri pe zi sau care au un numr de pn la 30 de utilizatori ori gestioneaz numai n mod sporadic date cu caracter personal, se desemneaz o persoan ca responsabil cu protecia datelor cu caracter personal, n directa subordonare a conductorului operatorului. Personalul care urmeaz s ocupe o

astfel de funcie trebuie s aib cunotine IT. ART. 5 Structurile/unitile MAI, n calitate de operator, au n principal urmtoarele obligaii: a) s notifice Autoritatea naional de supraveghere potrivit art. 22 din Legea nr. 677/2001 , cu modificrile i completrile ulterioare; b) s asigure informarea persoanelor vizate i s respecte drepturile acestora; c) s ia msurile necesare pentru a asigura securitatea prelucrrii datelor cu caracter personal; d) s elaboreze Proceduri privind msurile de protecie a persoanelor cu privire la prelucrarea datelor cu caracter personal, denumite n continuare proceduri proprii, conform legislaiei i normelor interne n domeniul standardizrii n vigoare la nivelul MAI; e) s ntocmeasc i s transmit, anual, Autoritii naionale de supraveghere raportul de activitate privind protecia persoanelor n privina prelucrrii datelor cu caracter personal; f) s pun la dispoziia Oficiului Responsabilului cu Protecia Datelor Personale, denumit n continuare Oficiu, n condiiile legii, prin intermediul structurii responsabile/responsabilului cu protecia datelor cu caracter personal i la solicitarea reprezentanilor acestuia, informaiile i documentele n legtur cu prelucrarea datelor cu caracter personal pe care le dein, n vederea exercitrii atribuiilor de coordonare, ndrumare i monitorizare a aplicrii unitare a legislaiei n domeniul proteciei persoanelor cu privire la prelucrarea datelor cu caracter personal. ART. 6 (1) Conductorii operatorului au urmtoarele atribuii principale: a) stabilesc scopul i mijloacele de prelucrare a datelor cu caracter personal atunci cnd acestea sunt necesare pentru exercitarea unor competene legale; b) numesc/stabilesc responsabilul/structura responsabil cu protecia datelor personale; c) asigur elaborarea procedurilor proprii i, dup avizarea acestora de ctre Oficiu, le aprob; d) asigur implementarea i vegheaz la respectarea normelor

procedurale n materia prelucrrii datelor cu caracter personal de ctre utilizatori; e) asigur desfurarea pregtirii de specialitate i instruirea utilizatorilor n acest domeniu; f) dispun msuri de completare sau, dup caz, de modificare a fiei posturilor utilizatorilor; g) analizeaz i dispun n ceea ce privete suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de eviden a datelor cu caracter personal, n condiiile legii; h) informeaz Oficiul n legtur cu orice nclcare a normelor de protecie a datelor cu caracter personal de natur a prejudicia drepturile persoanei vizate, cu privire la msurile dispuse pentru identificarea persoanei responsabile i limitarea efectelor unei diseminri neautorizate a datelor, precum i cu privire la situaiile n care au fost emise recomandri sau aplicate sanciuni de ctre Autoritatea naional de supraveghere sau cnd aceasta a dispus efectuarea unui control prealabil ori a unor investigaii; i) analizeaz periodic activitatea responsabilului/structurii responsabile cu protecia datelor cu caracter personal. (2) Conductorii mputerniciilor operatorului au atribuiile prevzute la alin. (1) lit. b), d)-g) i i); n cazul n care este incident una dintre situaiile prevzute la alin. (1) lit. h), conductorii mputerniciilor au obligaia de a informa operatorul. ART. 7 (1) Responsabilul/Structura responsabil cu protecia datelor cu caracter personal se subordoneaz nemijlocit conductorului operatorului sau, dup caz, mputernicitului acestuia, i are urmtoarele atribuii principale: a) coordoneaz elaborarea i implementarea procedurilor proprii, pe care le supune aprobrii conducerii operatorului; b) elaboreaz ghidul pentru exercitarea drepturilor de ctre persoana vizat; c) consiliaz conducerea operatorului sau a mputernicitului acestuia i sprijin instruirea personalului care prelucreaz date cu caracter personal referitoare la normele i regulile de protecie a datelor cu caracter personal; d) informeaz operativ conducerea operatorului sau a mputernicitului acestuia despre vulnerabilitile i riscurile semnalate n sistemul de securitate a prelucrrii datelor cu

caracter personal al structurii i propune msuri pentru nlturarea acestora; e) coordoneaz i monitorizeaz activitatea personalului pe linia proteciei datelor cu caracter personal la nivelul operatorului sau al mputernicitului acestuia i propune conducerii operatorului sau, dup caz, a mputernicitului, n condiiile legii, msuri privind modificarea, suspendarea ori revocarea drepturilor de acces n situaiile prevzute la art. 10 i 11, dup caz; f) efectueaz, prin sondaj, verificri privind modul de aplicare a msurilor legale de protecie a datelor cu caracter personal, ntocmete rapoarte i face propuneri pentru remedierea deficienelor constatate, pe care le nainteaz spre aprobare conducerii operatorului sau, dup caz, a mputernicitului; g) asigur relaionarea, solicit asisten de specialitate i particip la convocrile i activitile organizate de Oficiu n domeniul prelucrrii datelor cu caracter personal; h) coordoneaz soluionarea cererilor persoanelor vizate; i) ine evidena cererilor persoanelor vizate. (2) Atribuiile specifice responsabilului/personalului din cadrul structurii responsabile cu protecia datelor cu caracter personal se stabilesc prin fia postului. ART. 8 (1) Utilizatorii au urmtoarele obligaii specifice: a) s cunoasc i s aplice prevederile actelor normative din domeniul prelucrrii datelor cu caracter personal, precum i normele interne n materie emise la nivelul MAI; b) s informeze persoana vizat atunci cnd datele cu caracter personal sunt colectate direct de la aceasta, n condiiile legii, cu privire la: identitatea operatorului, scopul n care se face prelucrarea datelor, destinatarii sau categoriile de destinatari ai datelor, obligativitatea furnizrii tuturor datelor cerute i consecinele refuzului de a le pune la dispoziie, drepturile prevzute de lege, n special drepturile de acces, de intervenie asupra datelor i de opoziie, condiiile n care pot fi exercitate aceste drepturi, respectiv s ofere orice alte informaii a cror furnizare este impus prin dispoziii ale Autoritii naionale de supraveghere, innd seama de specificul prelucrrii; c) s prelucreze numai datele cu caracter personal necesare ndeplinirii atribuiilor de serviciu i s acorde sprijin

responsabilului/structurii responsabile cu protecia datelor cu caracter personal pentru realizarea activitilor specifice ale acestuia/acesteia; d) s pstreze confidenialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal; e) s respecte msurile de securitate, precum i celelalte reguli stabilite de operator, inclusiv cele stabilite prin proceduri proprii; f) s informeze de ndat conducerea operatorului sau, dup caz, a mputernicitului i responsabilul/structura responsabil cu protecia datelor cu caracter personal despre mprejurri de natur a conduce la o diseminare neautorizat de date cu caracter personal sau despre o situaie n care au fost accesate/prelucrate date cu caracter personal prin nclcarea normelor legale, despre care a luat la cunotin. (2) Pentru fiecare utilizator, fia postului se completeaz n mod corespunztor cu atribuiile prevzute la alin. (1). ART. 9 (1) nainte de nceperea activitilor de prelucrare a datelor cu caracter personal, utilizatorul trebuie s semneze o declaraie pe propria rspundere privind respectarea normelor de protecie a acestor date, conform modelului prevzut n anexa nr. 1. (2) Utilizatorul poate prelucra date cu caracter personal doar pe perioada n care ocup funcia respectiv. (3) Operatorii pot permite, n condiiile legii, prelucrarea datelor cu caracter personal de ctre funcionarii unui alt operator din afara ori din cadrul MAI, pe perioada necesar ndeplinirii unor atribuii de serviciu. n acest sens, este obligatorie ncheierea unui protocol de cooperare ntre operatori care s prevad c prelucrarea datelor cu caracter personal se face cu respectarea drepturilor persoanelor vizate, respectiv condiiile de securitate stabilite de ctre operatorul care gestioneaz sau administreaz sistemul de eviden a datelor cu caracter personal. ART. 10 Extinderea sau restrngerea atribuiilor de prelucrare a datelor cu caracter personal se dispune de operator atunci cnd utilizatorul se afl n una dintre urmtoarele situaii: a) la modificarea raporturilor de munc;

b) la modificarea atribuiilor privind prelucrarea datelor cu caracter personal, prevzute n fia postului. ART. 11 (1) Dreptul de acces al utilizatorului la sistemul de eviden a datelor cu caracter personal se suspend pe perioada n care acesta se afl n una dintre urmtoarele situaii: a) urmeaz un curs sau o specializare cu scoatere din program, pentru o perioad mai mare de 3 luni; b) se afl n concediu fr plat, concediu medical, concediu pentru creterea sau ngrijirea copilului minor, pentru o perioad mai mare de 3 luni; c) se afl n concediu de maternitate sau concediu pentru incapacitate temporar de munc; d) pe perioada cercetrii administrative, n situaia n care fa de utilizator se efectueaz cercetri referitoare la prelucrarea datelor cu caracter personal cu nclcarea dispoziiilor legale. e) alte cazuri prevzute de lege. (2) La propunerea responsabilului/structurii responsabile cu protecia datelor cu caracter personal, conductorul operatorului dispune revocarea contului unic de ctre administratorul aplicaiei atunci cnd utilizatorul se afl n una dintre urmtoarele situaii: a) la ncetarea raporturilor de munc/de serviciu; b) a intervenit o modificare a raporturilor de munc/de serviciu, iar noile atribuii nu impun accesul la date cu caracter personal. ART. 12 (1) La nivelul Oficiului se constituie Registrul de eviden a operatorilor din cadrul Ministerului Administraiei i Internelor, al crui model este prevzut n anexa nr. 2. (2) La nivelul operatorilor se constituie Registrul de eviden a sistemelor de eviden a datelor cu caracter personal. Sistemele informatice de la nivelul structurilor/unitilor MAI care prelucreaz date cu caracter personal in evidena automat a utilizatorilor. (3) Registrele prevzute la alin. (1) i (2) se pot constitui, dup caz, i n format electronic. ART. 13 (1) Planurile anuale de pregtire continu la nivelul operatorilor trebuie s conin teme privind cunoaterea legislaiei naionale i a acquis-lui comunitar n materia prelucrrii datelor cu caracter

personal, precum i teme specifice privind riscurile pe care le comport prelucrarea datelor i msurile minime de securitate, n funcie de specificul activitii fiecrui operator. (2) Pregtirea utilizatorilor se realizeaz n perioada tutelei profesionale. (3) Periodic se realizeaz instructaje cu utilizatorii pentru cunoaterea procedurilor specifice de lucru instituite la nivelul fiecrui operator. (4) Instructajele se efectueaz n mod obligatoriu la modificarea cadrului legal n materie, iar prelucrarea incidentelor se va realiza cu ntregul personal al operatorului. (5) Utilizatorii trebuie s fie instruii periodic cu privire la riscurile generate de vulnerabiliti i ameninri informatice. CAP. III Notificarea ART. 14 (1) Operatorii notific Autoritatea naional de supraveghere cu cel puin 30 de zile calendaristice nainte de efectuarea primei prelucrri, n condiiile prevzute de art. 22 din Legea nr. 677/2001 , cu modificrile i completrile ulterioare. (2) n situaia n care operatorul efectueaz mai multe categorii de prelucrri, iar acestea nu au acelai scop sau scopuri corelate, notificarea prevzut la alin. (1) se face separat pentru fiecare dintre aceste prelucrri. (3) Notificarea Autoritii naionale de supraveghere se realizeaz pe baza formularului tipizat al notificrilor prevzute de Legea nr. 677/2001 , cu modificrile i completrile ulterioare, aprobat prin Decizia preedintelui Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal nr. 95/2008 privind stabilirea formularului tipizat al notificrilor prevzute de Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date. (4) Notificarea prelucrrii datelor cu caracter personal prin sisteme de eviden ntocmite n anumite cazuri numai pentru perioada necesar realizrii unor activiti de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare

a ordinii publice se face cu respectarea regulilor prevzute la alin. (1)-(3), numai dac prelucrarea nu a fcut obiectul unei notificri anterioare. ART. 15 (1) Structurile i unitile MAI cu personalitate juridic care se ncadreaz n una dintre situaiile prevzute la art. 3 alin. (1) i care prelucreaz date cu caracter personal incluse n categoria celor pentru care notificarea este obligatorie conform legii se notific la Autoritatea naional de supraveghere prin eful/conductorul structurii/unitii ca reprezentant legal, pentru prelucrrile efectuate de operator direct sau prin mputernicit. (2) Structurile i unitile M.A.I. fr personalitate juridic care se ncadreaz n una dintre situaiile prevzute la art. 3 alin. (1) i care prelucreaz date cu caracter personal incluse n categoria celor pentru care notificarea este obligatorie conform legii se notific la Autoritatea naional de supraveghere, prin eful/conductorul structurii/unitii ca reprezentant legal, menionnd la denumirea operatorului titulatura structurii MAI care are personalitate juridic i creia i se subordoneaz sau titulatura MAI pentru structurile din aparatul central al ministerului, urmat de titulatura structurii/unitii MAI interesate. (3) Notificarea prevzut la alin. (2) se face numai cu avizul structurii MAI care are personalitate juridic, n subordinea creia se afl structura/unitatea MAI interesat sau, pentru structurile din aparatul central al MAI, numai cu avizul Oficiului. ART. 16 (1) Notificarea prelucrrii datelor cu caracter personal de ctre structurile/unitile MAI se efectueaz n form simplificat n situaiile prevzute de Decizia preedintelui Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal nr. 91/2006 privind cazurile n care este permis notificarea simplificat a prelucrrii datelor cu caracter personal. (2) Notificarea prelucrrii datelor cu caracter personal de ctre structurile/unitile MAI se poate efectua n form simplificat i n alte cazuri stabilite prin decizii ale Autoritii naionale de supraveghere. ART. 17 (1) Numrul de nregistrare a notificrii comunicat de Autoritatea naional de supraveghere structurilor/unitilor MAI

se menioneaz n orice document prin care se colecteaz, stocheaz sau dezvluie date cu caracter personal. (2) nceperea operaiunilor de prelucrare se realizeaz numai dup mplinirea termenului de 5 zile de la data notificrii, dac Autoritatea naional de supraveghere nu dispune efectuarea unui control prealabil sau dup comunicarea rezultatului favorabil al controlului i emiterea deciziei. ART. 18 (1) Notificarea nu este necesar n situaia prevzut la art. 22 alin. (2) din Legea nr. 677/2001 , cu modificrile i completrile ulterioare, precum i n situaiile prevzute de Decizia preedintelui Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal nr. 90/2006 privind cazurile n care nu este necesar notificarea prelucrrii unor date cu caracter personal i Decizia preedintelui Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal nr. 100/2007 privind stabilirea cazurilor n care nu este necesar notificarea prelucrrii unor date cu caracter personal. (2) Notificarea prelucrrii datelor cu caracter personal de ctre structurile/unitile MAI nu este necesar n alte cazuri prevzute de lege sau stabilite prin decizii ale Autoritii naionale de supraveghere. ART. 19 (1) Transferul de date cu caracter personal ctre un alt stat se face, n condiiile legii, numai dup notificarea prealabil a Autoritii naionale de supraveghere. (2) Notificarea Autoritii naionale de supraveghere prevzut la alin. (1) nu este necesar dac transferul datelor se face n baza prevederilor unei legi speciale sau ale unui acord internaional ratificat de Romnia. CAP. IV Prelucrarea datelor cu caracter personal ART. 20 (1) Operatorii i mputerniciii acestora prelucreaz date cu caracter personal care pot face ulterior obiectul unui sistem de eviden, automat sau neautomat, ori care sunt destinate s fie incluse ntr-un asemenea sistem, n mod distinct, pentru

realizarea activitilor de prevenire, cercetare i reprimare a infraciunilor, precum i de meninere i asigurare a ordinii publice, pentru scopuri administrative proprii ori pentru scopuri de administraie public, dup caz, conform specificului activitii. (2) Structura/Unitatea MAI care, n calitate de operator, prelucreaz date cu caracter personal prin mputernicii trebuie s ncheie un contract sau, dup caz, un document de cooperare cu instituia ori autoritatea public sau entitatea de drept privat care prelucreaz datele pe seama sa. (3) Documentul prevzut la alin. (2) trebuie s conin obligaiile mputernicitului de a aciona doar n baza instruciunilor primite de la operator, precum i de a aplica msurile tehnice i organizatorice adecvate pentru protejarea datelor cu caracter personal mpotriva distrugerii accidentale sau ilegale, pierderii, modificrii, dezvluirii ori accesului neautorizat, n special dac prelucrarea respectiv presupune transferul de date on-line, precum i mpotriva oricrei alte forme de prelucrare ilegal. ART. 21 Prelucrarea datelor cu caracter personal se poate realiza prin mijloace automate sau neautomate n cadrul unor operaiuni ori seturi de operaiuni, fr a fi limitate la acestea, dup cum urmeaz: a) colectarea - strngerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale i din orice surs; b) nregistrarea - consemnarea datelor cu caracter personal ntr-un sistem de eviden automat ori neautomat, care poate fi registru, fiier automat, baz de date sau orice alt form de eviden organizat, structurat ori ad-hoc sau ntr-un text, niruire de date ori document, indiferent de modalitatea n care se nscriu datele; c) organizarea - ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuiilor legale ale operatorului, n scopul eficientizrii/optimizrii activitilor de prelucrare a acestora; d) stocarea - pstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguran; e) adaptarea - transformarea datelor cu caracter personal colectate iniial, conform criteriilor prestabilite i scopurilor pentru

care au fost colectate; f) modificarea - actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, n scopul meninerii caracteristicilor de exactitate, realitate, actualitate; g) extragerea - scoaterea unei pri din categoria specific de date cu caracter personal, n scopul utilizrii acesteia, separat i distinct de prelucrarea iniial; h) consultarea - examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fr a fi limitate la acestea, n scopul efecturii unei operaiuni sau set de operaiuni de prelucrare ulterioar; i) utilizarea - folosirea datelor cu caracter personal, n tot sau n parte, de ctre i n interiorul operatorului, mputerniciilor operatorului ori destinatarului, dup caz, inclusiv prin tiprire, copiere, multiplicare, scanare sau orice alte procedee similare; j) dezvluirea - a face disponibile date cu caracter personal ctre teri prin comunicare, transmitere, diseminare sau n orice alt mod; k) alturarea - adugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modific; l) combinarea - mbinarea, unirea sau asamblarea unor date cu caracter personal separate iniial, ntr-o form nou, pe baza unor criterii prestabilite, pentru scopuri anume determinate; m) blocarea - ntreruperea prelucrrii datelor cu caracter personal; n) tergerea - eliminarea sau nlturarea, n tot sau n parte, a datelor cu caracter personal din evidene sau nregistrri, prin mplinirea termenului de pstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistena, inexactitatea; o) transformarea - operaiunea efectuat asupra datelor cu caracter personal avnd ca scop anonimizarea ori utilizarea acestora n scopuri exclusiv statistice; p) distrugerea - aducerea la stare de nentrebuinare, n condiiile legii, definitiv i irecuperabil, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal. ART. 22 (1) Prelucrarea datelor cu caracter personal se realizeaz de ctre operatori i mputernicii ai acestora n exercitarea

atribuiilor expres stabilite printr-un act normativ sau atunci cnd acesta prevede constituirea unor sisteme de eviden la nivel naional/teritorial, n scopul realizrii unor activiti/servicii de interes public. (2) Colectarea datelor cu caracter personal se poate face direct de la persoana vizat sau prin surse specifice, care pot fi, dar fr a se limita la: activitatea proprie a operatorului sau a mputerniciilor acestuia, consultarea direct a unor sisteme de eviden a datelor cu caracter personal constituite de ali operatori ori schimbul de date i informaii cu ali operatori, naionali sau internaionali, cu respectarea drepturilor persoanelor vizate i instituirea unor msuri adecvate de securitate a prelucrrilor. (3) Informarea persoanei vizate se realizeaz n condiiile i cu excepiile prevzute de lege, cu privire la cel puin urmtoarele informaii: a) identitatea operatorului, a mputernicitului acestuia i, dac este cazul, numrul atribuit de Autoritatea naional de supraveghere; b) scopul n care se face prelucrarea datelor cu caracter personal; c) destinatarii sau categoriile de destinatari ai datelor; d) dac furnizarea tuturor datelor cerute este obligatorie i consecinele refuzului de a le furniza; e) existena drepturilor persoanei vizate, n special a drepturilor de acces, de intervenie asupra datelor i de opoziie, precum i condiiile de exercitare a acestor drepturi; f) orice alte informaii a cror furnizare este impus prin decizii/instruciuni ale Autoritii naionale de supraveghere, innd seama de specificul prelucrrii. (4) Stocarea datelor cu caracter personal se realizeaz n condiiile stabilite prin actul normativ care reglementeaz scopul prelucrrii i potrivit regulilor generale de arhivare a documentelor. ART. 23 (1) Operatorii i mputerniciii acestora prelucreaz date cu caracter personal n scopuri de organizare, gestiune economicofinanciar i administrativ privind proprii angajai i membrii de familie ai acestora, n cadrul activitii de management resurse

umane, asigurarea asistenei medicale sau pentru desfurarea unor activiti cultural-artistice, jurnalistice ori sportive. (2) Operatorii i mputerniciii acestora care prelucreaz date cu caracter personal cu ocazia organizrii unor concursuri sau examene stabilesc condiiile concrete de asigurare a securitii prelucrrilor, precum i de informare a persoanelor vizate privind drepturile acestora. Datele cu caracter personal astfel prelucrate se terg sau se distrug dup realizarea scopului n care au fost prelucrate. Stocarea acestor date pentru o perioad mai mare dect cea necesar realizrii scopului se poate efectua numai pentru interes statistic, dup ce au fost transformate n date anonime. (3) Supravegherea prin mijloace audio i/sau video, fixe sau mobile, a unor spaii publice perimetrale ori adiacente propriilor sedii, precum i a spaiilor interioare ale acestora constituie o prelucrare a datelor cu caracter personal doar dac aceasta este nsoit de un sistem de stocare a datelor care permite identificarea ulterioar, prin orice mijloace, a persoanei vizate. n acest caz este obligatorie avertizarea personalului propriu i a publicului privind existena sistemului de supraveghere, precum i informarea acestuia privind identitatea operatorului, scopul prelucrrii, categoriile de date prelucrate, destinatarii datelor sau alte date suplimentare, dup caz, conform legii. Instalarea acestor mijloace se realizeaz astfel nct, pe ct posibil, s nu fie vizualizat interiorul altor imobile sau cile de acces la acestea, aflate n zona adiacent echipamentelor de supraveghere. CAP. V Dezvluirea datelor cu caracter personal ART. 24 (1) Datele cu caracter personal se pot comunica ntre operatori i mputerniciii acestora sau ntre operatori sau mputernicii ai acestora i alte instituii ori organisme publice sau entiti de drept public sau privat n una dintre urmtoarele situaii: a) dac persoana vizat i-a dat consimmntul expres i neechivoc pentru comunicarea datelor sale; b) fr consimmntul persoanei vizate n cazurile prevzute de art. 5 alin. (2) din Legea nr. 677/2001 , cu modificrile i

completrile ulterioare; c) n cazul prelucrrii datelor cu caracter personal n activitile de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, n condiiile prevzute de art. 6 din Legea nr. 238/2009 . (2) Comunicarea datelor cu caracter personal n situaiile prevzute la alin. (1) se poate face dac este ndeplinit una dintre urmtoarele condiii: a) comunicarea se efectueaz pe baza unui contract sau, dup caz, a unui document de cooperare care trebuie s cuprind cel puin: numrul de nregistrare a notificrii, temeiul legal al prelucrrii i scopul acesteia, termenul maxim de prelucrare, drepturile i obligaiile prilor, modalitile de asigurare a securitii prelucrrilor i de respectare a drepturilor persoanei vizate, precum i meniunea c datele pot fi utilizate doar de structura beneficiar i numai n scopul pentru care au fost solicitate; b) comunicarea se efectueaz n baza unei solicitri scrise, care trebuie s cuprind temeiul legal, scopul prelucrrii i datele solicitate, precum i, dac este cazul, numrul atribuit beneficiarului de Autoritatea naional de supraveghere. (3) Comunicarea datelor cu caracter personal de ctre operatori i mputerniciii acestora se poate face i on-line, cu respectarea dispoziiilor alin. (1) i (2) i asigurarea securitii sistemelor de comunicaii a datelor cu caracter personal. (4) Datele cu caracter personal asupra crora persoanele vizate au exercitat i li s-a recunoscut dreptul de opoziie nu pot face obiectul prelucrrii. (5) Comunicarea de date cu caracter personal se poate efectua i din oficiu, n condiiile legii. ART. 25 (1) Cererile pentru comunicarea datelor cu caracter personal adresate operatorilor i mputerniciilor acestora trebuie s conin datele de identificare a solicitantului, precum i motivarea i scopul cererii, conform prevederilor legale sau obligaiilor cuprinse n tratate la care Romnia este parte. (2) Cererile care nu conin elementele prevzute la alin. (1) se restituie pentru completare, iar cele care nu se ncadreaz n condiiile prevzute de lege sau de tratatele la care Romnia este

parte se resping, menionndu-se motivele pentru care comunicarea datelor cu caracter personal nu este posibil. (3) nainte de comunicarea datelor cu caracter personal, operatorii i mputerniciii acestora verific dac acestea sunt exacte i, dac este cazul, actualizate. (4) n situaia n care se constat c au fost transmise date incorecte sau neactualizate, operatorii au obligaia de a informa destinatarii respectivelor date asupra neconformitii acestora, cu menionarea datelor care au fost modificate. (5) La comunicarea datelor cu caracter personal operatorii i mputerniciii acestora atenioneaz destinatarii asupra interdiciei de a prelucra datele pentru alte scopuri dect cele specificate n cererea de comunicare. CAP. VI Transferul de date cu caracter personal ART. 26 (1) Datele cu caracter personal gestionate de operatori pot fi transferate ctre instituiile competente ale altor state sau organisme de cooperare poliieneasc i judiciar internaional, n condiiile legii, fr autorizarea Autoritii naionale de supraveghere, numai dac exist o prevedere legal expres n legislaia naional sau comunitar ori ntr-un tratat ratificat de Romnia. (2) Operatorii pot transmite date cu caracter personal ctre instituiile competente ale altor state sau organisme de cooperare poliieneasc i judiciar din state non-UE numai dac legislaia statului n cauz prevede un nivel de protecie cel puin egal cu cel oferit de legea romn sau organizaia asigur un nivel adecvat de protecie pentru prelucrarea datelor, cu respectarea condiiei prevzute la art. 29 alin. (3) din Legea nr. 677/2001 , cu modificrile i completrile ulterioare. (3) Transmiterea de date cu caracter personal ctre instituiile competente ale altor state sau ctre organisme de cooperare poliieneasc i judiciar din state non-UE a cror legislaie nu prevede un nivel de protecie cel puin egal cu cel oferit de legea romn poate fi efectuat numai cu autorizarea Autoritii naionale de supraveghere, n condiiile prevzute la art. 29 alin.

(4) din Legea nr. 677/2001 , cu modificrile i completrile ulterioare. (4) n cazul prelucrrilor efectuate n activitile de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, transmiterea de date cu caracter personal ctre instituiile prevzute la alin. (1)-(3) este ntotdeauna permis dac transferul este necesar pentru prevenirea unui pericol grav i iminent asupra vieii, integritii corporale sau sntii unei persoane ori a proprietii acesteia, precum i pentru combaterea unei infraciuni grave prevzute de lege, cu respectarea legii romne. ART. 27 (1) Transferul de date cu caracter personal ctre entiti de drept public sau privat, altele dect cele prevzute la art. 26, se face n condiiile legii romne i numai cu autorizarea Autoritii naionale de supraveghere. (2) Autorizarea Autoritii naionale de supraveghere prevzut la alin. (1) nu este necesar n situaiile n care datele urmeaz s fie folosite exclusiv n scopuri jurnalistice, literare sau artistice, au fost fcute publice n mod manifest de ctre persoana vizat sau sunt strns legate de calitatea de persoan public a persoanei vizate ori de caracterul public al faptelor n care este implicat. (3) n cadrul documentului pe baza cruia se realizeaz transferul datelor cu caracter personal, se menioneaz drepturile recunoscute persoanelor vizate, precum i condiiile necesare asigurrii confidenialitii datelor. n acest sens, operatorii avertizeaz beneficiarii datelor cu caracter personal privind obligativitatea utilizrii acestora conform scopurilor specificate n documentele care stau la baza transferului. (4) Datele cu caracter personal asupra crora persoanele vizate au exercitat i li s-a recunoscut dreptul de opoziie nu pot face obiectul transferului. (5) Datele cu caracter personal transferate altor organisme publice, entiti de drept privat sau autoriti strine nu pot fi folosite pentru alte scopuri dect cele specificate n cererea de comunicare a datelor cu caracter personal. ART. 28 Transferul datelor cu caracter personal ctre un alt stat este ntotdeauna permis n condiiile art. 30 din Legea nr. 677/2001 ,

cu modificrile i completrile ulterioare, cu notificarea prealabil a Autoritii naionale de supraveghere. CAP. VII Msuri de asigurare a exercitrii drepturilor persoanelor vizate ART. 29 (1) Informarea persoanei vizate se face n condiiile art. 12 din Legea nr. 677/2001 , cu modificrile i completrile ulterioare. (2) Operatorii i mputerniciii acestora dispun msuri pentru existena, n spaiile accesibile publicului, a mijloacelor de informare a persoanelor vizate care s cuprind drepturile conferite de lege, precum i a ghidului pentru exercitarea drepturilor de ctre persoana vizat; ghidul trebuie s conin detalierea drepturilor persoanei vizate, dar i modalitatea practic pentru depunerea cererilor de ctre persoana vizat, structurile responsabile cu analizarea acestora, datele de contact ale acestor structuri i modalitatea de transmitere a rspunsurilor; ghidul se afieaz, dup caz, i pe pagina de internet a operatorului. (3) Operatorii afieaz, dup caz, pe pagina de internet formulare-tip de cereri pentru exercitarea drepturilor de ctre persoana vizat. (4) Exercitarea drepturilor persoanei vizate poate fi limitat doar n condiiile prevzute la art. 16 alin. (1) din Legea nr. 677/2001 , cu modificrile i completrile ulterioare, sau, respectiv, la art. 11 din Legea nr. 238/2009 . (5) n orice situaie, persoana vizat trebuie s fie informat cu privire la dreptul de a se adresa Autoritii naionale de supraveghere sau instanei de judecat. (6) Operatorii in evidena cazurilor n care, n aplicarea dispoziiilor art. 16 din Legea nr. 677/2001 , cu modificrile i completrile ulterioare, a fost limitat exercitarea drepturilor persoanei vizate. Operatorii informeaz anual Autoritatea naional de supraveghere cu privire la cazurile aprute i modul de soluionare a acestora. ART. 30 n cadrul procedurilor proprii operatorii stabilesc modalitile prin care, n exercitarea dreptului de acces la date, la cererea persoanei vizate, comunic informaiile prevzute de lege, atunci

cnd prelucreaz date cu caracter personal care o privesc pe aceasta. Comunicarea se efectueaz n termen de cel mult 15 zile de la data primirii cererii, cu excepiile prevzute de lege. ART. 31 (1) Exercitarea dreptului de acces se face gratuit o singur dat pe an. (2) Pentru toate celelalte situaii cnd drepturile prevzute de lege nu pot fi exercitate n mod gratuit, structurile/unitile MAI stabilesc, potrivit art. 5 lit. b), msuri adecvate pentru asigurarea unui nivel rezonabil al cheltuielilor, n sarcina persoanei vizate. (3) Cuantumul cheltuielilor se rezum la acoperirea costurilor suportate de operator. ART. 32 (1) Dreptul de intervenie al persoanei vizate se exercit n condiiile art. 14 din Legea nr. 677/2001 , cu modificrile i completrile ulterioare. (2) Persoana vizat se poate adresa operatorului printr-o cerere scris, datat i semnat. (3) n termen de 15 zile de la primirea cererii, operatorul comunic persoanei vizate msurile luate, dup caz. ART. 33 (1) n exercitarea dreptului de opoziie, persoana vizat se poate adresa operatorului, prin cerere motivat, cu respectarea condiiilor prevzute de art. 15 alin. (3) din Legea nr. 677/2001 , cu modificrile i completrile ulterioare. (2) n termen de 15 zile de la primirea cererii, operatorul comunic persoanei vizate msurile luate, precum i terul cruia i-au fost dezvluite anterior datele cu caracter personal, dup caz, cu respectarea eventualei opiuni a solicitantului privind comunicarea la o anumit adres, care poate fi i de pot electronic, sau printr-un serviciu de coresponden care s asigure c predarea i se va face numai personal. (3) Dreptul de opoziie nu poate fi exercitat pentru prelucrrile prevzute de lege. ART. 34 Orice persoan are dreptul de a nu fi supus unei decizii individuale de ctre structurile/unitile MAI i de a se adresa Autoritii naionale de supraveghere sau justiiei, potrivit legii. ART. 35

(1) Operatorul informeaz persoana vizat asupra procedurii de primire a cererilor, prin afiare la sediu, publicare pe pagina WEB sau prin alte mijloace. (2) n cazul cererilor transmise fr a fi ndeplinite condiiile prevzute de lege, solicitantul va fi informat n scris cu privire la condiiile de exercitare a drepturilor prevzute de Legea nr. 677/2001 , cu modificrile i completrile ulterioare. (3) Odat cu soluionarea cererii, se aduce la cunotina persoanelor vizate c au dreptul de a se adresa Autoritii naionale de supraveghere sau justiiei pentru aprarea drepturilor garantate de lege. TITLUL II Msuri tehnice CAP. I Utilizatorii datelor cu caracter personal ART. 36 (1) Pentru fiecare utilizator, administratorul aplicaiei stabilete un cont unic care s permit att identificarea, ct i configurarea categoriilor de prelucrri la care are dreptul, asigurnd totodat i jurnalizarea operaiunilor efectuate. (2) Identificarea n sistem a utilizatorului se poate realiza prin: a) introducerea unui cod de identificare de la tastatur - user name -, nsoit de introducerea unei parole; b) folosirea unei cartele inteligente - smart card - sau a unei cartele magnetice; c) mijloace biometrice: amprenta dactiloscopic, amprenta vocal, angiografia retinian sau prin alte mijloace; d) certificat digital pe suport extern de memorie, token. (3) Operatorii stabilesc modalitatea concret de identificare i autentificare folosit, n funcie de importana datelor cu caracter personal deinute, volumul acestora, numrul de utilizatori, frecvena interogrilor i operaiunile de prelucrare, precum i msurile de protecie fizic a locaiei. (4) Codurile de identificare, parolele sau cartelele sunt unice, personale i netransmisibile. Se interzice folosirea lor n comun de ctre mai muli utilizatori.

(5) Parolele trebuie s aib minimum 6 caractere alfanumerice - cifre i litere -, iar introducerea acestora nu trebuie s fie afiat n clar pe ecran. (6) Parolele se schimb ori de cte ori este nevoie, dar cel puin o dat la 3 luni pentru utilizatori i la 6 luni pentru administratorii aplicaiei. (7) La generarea contului unic utilizatorul primete n scris parola i codul de identificare. Utilizatorul are obligaia s schimbe parola n urmtoarele situaii: a) la prima accesare a contului unic; b) n cazurile prevzute de alin. (6); c) ori de cte ori apreciaz ca fiind necesar pentru asigurarea securitii prelucrrii datelor cu caracter personal. (8) Administratorul sistemului de eviden a datelor cu caracter personal ia msurile necesare pentru activarea unui mesaj de avertizare dup a treia introducere greit a parolei i blocarea contului la a cincea introducere greit. Mesajul pentru utilizator va cuprinde urmtorul text: "Atenie, ai introdus greit parola de 3 ori. La a 5-a introducere greit, contul va fi blocat. V rugm s reverificai codul i parola." Dup cea de-a cincea introducere greit a parolei, pe ecran va fi afiat urmtorul mesaj: "Atenie! Contul este blocat. V rugm s contactai administratorul aplicaiei." ART. 37 (1) Cartela de acces sau tokenul n timpul programului de lucru se pstreaz permanent asupra utilizatorului. n afara programului de lucru, cartela de acces sau tokenul se pstreaz n fiet/caset metalic/metalic ncuiat/ncuiat i sigilat/sigilat la care are acces numai utilizatorul acesteia. (2) Se interzice transcrierea/pstrarea parolei, respectiv a cartelei sau tokenului, la vedere sau n alt mod dect cel prevzut mai sus ori diseminarea/transmiterea acestora ctre alte persoane. (3) Documentele care conin coduri de identificare i parole de acces vor fi arhivate numai dac acestea nu se mai afl n uz. (4) Conductorul operatorului dispune msuri astfel nct conturile de utilizator s fie suspendate sau revocate imediat pentru personalul aflat n situaiile prevzute la art. 11. (5) Utilizatorul aflat n una dintre situaiile prevzute la art. 11

are obligaia de a preda cartela de acces responsabilului/structurii responsabile cu protecia datelor cu caracter personal. (6) Dup ncetarea situaiilor prevzute la art. 10, operatorul dispune reactivarea contului de utilizator. (7) Aplicaia de gestiune a bazelor de date trebuie configurat astfel nct s asigure dezactivarea automat a codurilor de identificare i a cartelelor care nu au fost folosite o perioad de pn la 6 luni; acestea sunt meninute n istoricul de utilizatori, dup caz, de ctre administratorul aplicaiei. (8) La apariia unei situaii de modificare a competenelor sau raporturilor de serviciu, operatorii stabilesc modaliti concrete de revocare/suspendare a conturilor de acces, astfel nct prelucrarea datelor cu caracter personal s se fac numai de ctre personalul autorizat i numai n exercitarea atribuiilor de serviciu ale acestora. (9) Revocarea/Suspendarea conturilor de acces se va face numai de ctre administratorul aplicaiei. (10) Fiecare operator permite accesul utilizatorilor la sisteme de eviden a datelor cu caracter personal neautomate numai pe baza unei liste nominale aprobate de conductorul/eful acestuia. (11) Elaborarea i actualizarea listei se asigur de ctre responsabilul/structura responsabil cu protecia datelor cu caracter personal, n baza comunicrilor fcute pe linie de resurse umane. (12) Pentru accesul personalului la sistemele de eviden a datelor cu caracter personal deinute de ali operatori, conturile de utilizator se vor obine n baza solicitrii scrise i motivate a structurii/unitii interesate sau pe baza unor protocoale ncheiate n acest sens. ART. 38 (1) Conductorul operatorului stabilete fiecrui utilizator tipurile de acces i operaiunile permise acestuia, strict necesare pentru ndeplinirea atribuiilor de serviciu. (2) Cu ocazia proiectrii, ntreinerii, actualizrii aplicaiilor de gestiune a bazelor de date, se interzice accesul programatorilor/personalului de ntreinere a sistemelor informatice la orice fel de date cu caracter personal deinute/create/accesate de personalul din structura/unitatea respectiv. n aceste situaii, se pun la dispoziia

programatorilor/personalului de ntreinere numai date anonime. (3) Pentru cazuri excepionale, numai pe durata interveniei i circumstaniat limitativ la datele strict necesare, persoanele care asigur suportul tehnic pot avea acces la datele cu caracter personal numai n prezena unui utilizator desemnat de operator. n aceast situaie, rspunderea pentru pstrarea confidenialitii datelor aparine persoanelor n cauz, sens n care trebuie s semneze un angajament de confidenialitate. (4) Conductorii operatorului desemneaz utilizatorii care au ca atribuii de serviciu tergerea sau distrugerea datelor cu caracter personal. ART. 39 (1) n cadrul operatorului sau al mputerniciilor acestuia, operaiunile de colectare, introducere, modificare i actualizare a datelor cu caracter personal se fac numai de personalul anume desemnat de ctre conductorii acestora. (2) Conductorii operatorilor sau ai mputerniciilor acestora dispun msurile necesare care s permit identificarea utilizatorului care a introdus, modificat sau actualizat datele, precum i a datei i orei efecturii operaiunilor. Datele terse sau modificate vor fi pstrate separat o perioad de timp stabilit de operator, dup care se distrug sau se terg. ART. 40 (1) Bazele de date cu caracter personal deinute/create i programele folosite de operatori sau de mputerniciii acestora sunt salvate, prin copii de siguran, la un interval de timp stabilit de conductorii operatorului sau ai mputerniciilor acestuia, n funcie de mrimea, volumul i importana acestor baze de date, care nu poate depi 6 luni. Operatorii i mputerniciii acestora in evidena copiilor de siguran. (2) Conductorii operatorului sau ai mputerniciilor acestuia desemneaz utilizatori care trebuie s aib ca atribuie de serviciu i executarea copiilor de siguran ale bazelor de date deinute/create i ale programelor folosite. (3) Conductorii operatorului sau ai mputerniciilor acestuia dispun msurile necesare pentru stocarea copiilor de siguran n camere special amenajate sau n fiete metalice, sigilate. Accesul n ncperea special amenajat se acord numai personalului anume desemnat i se consemneaz ntr-un registru special. n

exercitarea atribuiilor legale, Autoritatea naional de supraveghere are acces la copiile de siguran. (4) Conductorii operatorilor sau ai mputerniciilor acestuia pot institui msuri suplimentare de siguran, precum sisteme de monitorizare video, att pentru accesul n ncpere, ct i pentru operaiunile derulate cu aceast ocazie, dup caz. ART. 41 (1) Accesul n ncperile n care se afl echipamente care prelucreaz date cu caracter personal este strict limitat la utilizatorii desemnai de conductorii operatorului sau ai mputerniciilor acestuia i numai pentru ndeplinirea atribuiilor de serviciu. (2) n cazul n care nu se poate restriciona accesul n aceste ncperi, echipamentele se securizeaz cu chei sau cartele magnetice. (3) Aplicaiile informatice care gestioneaz date cu caracter personal trebuie prevzute cu facilitatea nchiderii automate a sesiunii de lucru dac utilizatorul nu acioneaz asupra datelor afiate pe ecran o perioad de timp de pn la 5 minute, stabilit n funcie de operaiile care trebuie executate. (4) Terminalele de acces folosite n relaia cu publicul se poziioneaz astfel nct datele afiate s fie vizualizate numai de utilizatori. Aceste terminale de acces trebuie s aib setat funcia "screen saver" la o temporizare de maximum 5 minute, iar dac acest lucru nu este posibil din punct de vedere tehnic, dup trecerea intervalului de timp menionat, datele afiate trebuie ascunse. ART. 42 (1) Pentru prelucrrile efectuate n sistemele de eviden automate, aplicaia trebuie s nregistreze orice accesare ntr-un fiier de acces, denumit n continuare log. Stocarea acestor informaii se face ntr-un fiier de acces general sau n fiiere separate pentru fiecare utilizator, dup caz. (2) Informaiile nregistrate n log vor fi: a) codul de identificare a utilizatorului i a staiei de lucru folosite; b) numele fiierului accesat; c) numrul nregistrrilor efectuate; d) tipul de acces;

e) motivul prelucrrii datelor cu caracter personal care trebuie s permit identificarea documentului/situaiei concrete care a stat la baza i a justificat prelucrarea datelor; f) codul operaiei executate sau programul folosit; g) data accesului - an, lun, zi; h) timpul - ora, minutul, secunda. (3) Aplicaia nregistreaz orice ncercare de acces neautorizat, iar responsabilul/structura responsabil cu protecia datelor cu caracter personal are obligaia de a verifica mprejurrile producerii acesteia, lund msurile ce se impun. (4) Logurile se pstreaz cel puin 2 ani, n funcie de necesitatea asigurrii disponibilitii datelor pentru operator, corelat cu importana i volumul de date stocate. La acoperirea capacitii de stocare, logurile vor fi transferate i pstrate pe suport amovibil n condiiile prevzute pentru copiile de siguran. (5) Pentru inerea evidenei operaiunilor de consultare a datelor cu caracter personal coninute n sisteme de eviden neautomate-manuale, operatorul sau mputerniciii acestuia instituie Registrul de consultare/multiplicare a documentelor din sistemul de eviden, conform modelului prevzut n anexa nr. 3. (6) Declanarea unei investigaii a crei finalizare depete termenul stabilit de operator, conform alin. (5), atrage prelungirea perioadei de pstrare. (7) Logurile pot fi accesate, respectiv consultate. (8) Se interzice orice prelucrare de date cu caracter personal care nu este motivat strict de ndeplinirea unei atribuii de serviciu a utilizatorului. ART. 43 (1) Conductorii operatorului sau ai mputerniciilor acestuia care prelucreaz date cu caracter personal dispun luarea msurilor tehnice adecvate pentru identificarea eventualelor disfuncionaliti n ceea ce privete funcionarea sistemelor de comunicaii. (2) Responsabilul/Structura responsabil cu protecia datelor cu caracter personal efectueaz periodic, prin sondaj, controlul autentificrilor i tipurilor de acces, precum i respectarea msurilor de securitate specifice sistemelor de comunicaii folosite pentru transmiterea acestor date. (3) Rezultatul controlului, eventualele disfuncionaliti

identificate, precum i msurile de remediere a acestora se consemneaz ntr-un raport care se supune aprobrii conductorului/efului structurii/unitii respective. (4) Conductorii operatorului sau ai mputerniciilor acestuia dispun msurile necesare de securitate a sistemului de comunicaii pentru nlturarea posibilitii de diseminare neautorizat sau interceptare a transmisiilor de date. n acest scop se poate folosi inclusiv transmisia criptat a datelor cu caracter personal. (5) Folosirea sistemelor de comunicaii pentru transmiterea datelor cu caracter personal se realizeaz numai dac prin aceast metod se asigur gradul de operativitate impus de specificul activitii desfurate de structurile implicate. ART. 44 (1) Conductorii operatorului sau ai mputerniciilor acestuia dispun msurile necesare n vederea instituirii i meninerii unui nivel suficient de securitate a prelucrrii datelor cu caracter personal, care vor consta cel puin n: a) interzicerea instalrii de ctre personalul MAI a altor programe software n afara celor configurate de personalul autorizat, pentru ndeplinirea atribuiilor de serviciu; b) configurarea porturilor de acces la mediile de stocare pentru fiecare staie de lucru i a comenzilor care permit salvarea sau listarea documentelor, n mod adecvat, pentru categoriile de operaiuni efectuate de fiecare utilizator, n strict legtur cu ndeplinirea atribuiilor de serviciu ale acestuia; c) implementarea unor aplicaii automate de contracarare a vulnerabilitilor i ameninrilor informatice i de securitate a sistemelor informatice. (2) n timpul activitii, monitoarele de lucru trebuie s afieze mesaje de avertizare privind obligativitatea pstrrii confidenialitii datelor cu caracter personal prelucrate. ART. 45 (1) Conductorii operatorului sau ai mputerniciilor acestuia desemneaz utilizatorii cu drept de imprimare a extraselor din sistemele de eviden a datelor cu caracter personal sau a altor documente care includ astfel de date, inclusiv de multiplicare, n strict corelare cu ndeplinirea atribuiilor de serviciu ale acestora. (2) Toate documentele care conin date cu caracter personal se

nregistreaz i urmeaz regulile de pstrare, procesare, multiplicare, transport, transmitere, distrugere i arhivare stabilite prin acte normative interne. (3) Documentele elaborate de structurile/unitile MAI, care conin date cu caracter personal, se marcheaz dup cum urmeaz: a) n cadrul documentului se menioneaz numrul atribuit notificrii de ctre Autoritatea naional de supraveghere; b) n subsolul fiecrei pagini, cu excepia documentelor clasificate, se insereaz urmtorul text: "Document care conine date cu caracter personal protejate de prevederile Legii nr. 677/2001 !". (4) Marcajul prevzut la alin. (3) lit. b) este obligatoriu inclusiv n cazul prelucrrilor de date cu caracter personal n situaii pentru care, potrivit legii, notificarea nu este necesar. ART. 46 Procedurile proprii elaborate de operatori trebuie s cuprind: a) modaliti de administrare a conturilor de utilizator; b) modaliti de control al accesului n zonele n care se prelucreaz date cu caracter personal; c) modaliti de asigurare a confidenialitii, integritii i disponibilitii datelor cu caracter personal; d) modaliti privind securitatea transmisiilor de date i accesul securizat la aceste mijloace de transmitere a datelor. CAP. II Dispoziii finale ART. 47 (1) Structurile/Unitile MAI care proceseaz date cu caracter personal au obligaia s transmit Oficiului, anual, pn la 31 decembrie, o analiz cu privire la activitatea desfurat n domeniul prelucrrii datelor cu caracter personal. (2) Structurile/Unitile MAI care proceseaz date cu caracter personal trebuie s pun la dispoziia Oficiului, n condiiile legii, informaiile, documentele sau actele pe care le dein pentru ndeplinirea atribuiilor ce i revin n domeniul proteciei datelor cu caracter personal. ART. 48

Prezentele instruciuni sunt aplicabile unitilor aparatului central al MAI i unitilor, instituiilor i structurilor aflate n subordinea ministerului, n conformitate cu statutul i relaia acestora cu ministerul, stabilite prin dispoziii legale i n msura n care nu contravin acestora. ART. 49 Nerespectarea dispoziiilor prezentelor instruciuni atrage, potrivit legii, rspunderea disciplinar, civil, material sau penal, dup caz. ART. 50 (1) Prezentele instruciuni intr n vigoare n termen de 90 de zile de la data publicrii n Monitorul Oficial al Romniei, Partea I. (2) Procedurile proprii prevzute la art. 5 lit. d) i ghidul pentru exercitarea drepturilor de ctre persoana vizat prevzut la art. 29 alin. (2) se elaboreaz n termen de 90 de zile de la intrarea n vigoare a prezentelor instruciuni. (3) Anexele nr. 1-3 fac parte integrant din prezentele instruciuni. Ministrul administraiei i internelor, Vasile Blaga Bucureti, 3 februarie 2010. Nr. 27. ANEXA 1 DECLARAIE Subsemnatul/Subsemnata, ................................., nscut() n localitatea ..................................., la data de ..................., fiul (fiica) lui ............ i al(a) ............., angajat/angajat al(a) .............., n funcia de ..............., cu domiciliul n ..........................., declar pe propria rspundere c am luat cunotin de prevederile legale referitoare la protecia datelor cu caracter personal i consimt s pstrez confidenialitatea datelor

cu caracter personal a cror prelucrare o efectuez n condiiile legii, n virtutea atribuiilor de serviciu, inclusiv dup ncetarea activitilor de prelucrare a acestor date. Cunosc faptul c nclcarea normelor legale privind protecia datelor cu caracter personal atrage rspunderea administrativ, disciplinar, material, civil ori penal, n raport cu gravitatea faptei, potrivit legii. Data ........... Semntura .............. Dat n prezena ..................................................................... (numele i prenumele responsabilului/persoanei din structura responsabil cu protecia datelor personale) .................... ANEXA 2 REGISTRUL DE EVIDEN a operatorilor din cadrul Ministerului Administraiei i Internelor *T* Nr. Denumi- Respon- Denumirea Data i Scopul Sursa Opera- Tipul de Nr. i crt.rea sabilul/ sistemuluinumrul prelu- de iunileeviden data Obs struc- eful de de nre-crrii/colec-de preutilizat proce- turii/ comparti-eviden gistrareBaza tare lucrare(automat/ durii unitiimentului a noti- legal care seneautomat)proprii

MAI (date de contact)

ficrii

efectu- eaz

*ST*

ANEXA 3 REGISTRUL DE CONSULTARE/MULTIPLICARE a documentelor din ...................., deinut de .................... (denumirea sistemului (serviciu/birou etc.) de eviden) *T* Nr. Emitentul Dataeful/Con- Gradul, Denumi- SemnSemn- Denumirea Nr. crt.i numruli ductorul numele rea tura tura dedocumentu-adresei de nre- ora structurii/i pre- documen-de resti- lui multi-prin Obs. gistrare acon-unitii numele tului primi-tuire plicat/nr.care a cererii desul-care a persoa- consul- re a file fost consul- t- aprobat nei caretat/nr. docu- expediat tare/multirii consul- consultfile mentu- documen-

 plicare tarea/mul- lui tul mul- tiplicarea consul tiplicat tat *ST* ___________