DECIZIE

privind condiiile prelucrrii codului numeric personal i a altor date cu caracter

personal avnd o funcie de identificare de aplicabilitate general
Vznd Referatul de aprobare nr. 1.089 din 2 august 2011 privind necesitatea clarificrii
modalitii de prelucrare a codului numeric personal i a altor date cu caracter personal avnd o
funcie de identificare de aplicabilitate general, ntruct din practic a rezultat colectarea i
prelucrarea fr o justificare temeinic a acestor date, precum i a copiilor documentelor ce le
conin,
avnd n vedere intrarea n vigoare a Tratatului de la Lisabona, la data de 1 decembrie 2009, cu
consecine asupra cadrului juridic al proteciei datelor n Uniunea European, prin dispoziiile art.
16 din Tratatul privind funcionarea Uniunii Europene,
vznd dispoziiile considerentelor (22), (23) i (68) ale Directivei 95/46/CE a Parlamentului
European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce
privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date, denumit n
continuare Directiva 95/46/CE, potrivit crora se permite statelor membre, independent de
normele generale, s prevad condiii de prelucrare speciale pentru sectoare specifice, fiind
mputernicite s asigure punerea n aplicare a proteciei persoanei i prin acte cu putere de lege n
anumite sectoare, completnd sau clarificnd cu norme speciale principiile cu privire la protecia
drepturilor i libertilor persoanelor, n special a dreptului la via privat, n ceea ce privete
prelucrarea datelor cu caracter personal,
vznd dispoziiile art. 8 din Convenia pentru aprarea drepturilor omului i libertilor
fundamentale, care consfinesc respectarea vieii private i de familie a oricrei persoane, inclusiv
protejarea datelor personale, precum i cele ale art. 26 din Constituia Romniei, republicat, care
garanteaz respectarea dreptului fundamental la via intim, familial i privat, drept reafirmat
i n Carta drepturilor fundamentale a Uniunii Europene,
ntruct dreptul la via intim, familial i privat, n special la protecia datelor personale, nu
este un drept absolut, iar cnd se confrunt cu alte drepturi fundamentale trebuie s se gseasc
un echilibru n respectarea acestora, ele fiind de aceeai natur i importan,
lund n considerare principiile de baz pentru protecia datelor instituite prin Convenia pentru
protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la
Strasbourg la 28 ianuarie 1981 i ratificat de Romnia prin Legea nr. 682/2001, cu modificrile
ulterioare, mai ales cele privind asigurarea securitii datelor i garaniile conferite persoanei ale
crei date sunt prelucrate,
innd cont de faptul c, chiar dac colectarea i stocarea unor date de ctre un operator nu ar
putea constitui n sine o ingerin n viaa privat, comunicarea acestora unui ter poate aduce
atingere vieii private a persoanei n cauz, oricare ar fi utilizarea ulterioar a informaiilor
comunicate,
avnd n vedere condiiile stabilite de dispoziiile art. 8 din Legea nr. 677/2001 pentru protecia
persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date,
cu modificrile i completrile ulterioare, prelucrarea codului numeric personal sau a altor date cu
caracter personal avnd o funcie de identificare de aplicabilitate general se efectueaz numai
dac persoana vizat i-a dat n mod expres consimmntul sau dac prelucrarea este prevzut
n mod expres de o dispoziie legal, Autoritatea Naional de Supraveghere a Prelucrrii Datelor
cu Caracter Personal fiind n msur s stabileasc i alte cazuri n care se poate efectua
prelucrarea acestor date numai cu condiia instituirii unor garanii adecvate pentru respectarea
drepturilor persoanelor vizate,
ntruct, potrivit art. 2 lit. h) din Directiva 95/46/CE, consimmntul persoanei vizate nseamn
orice manifestare de voin, liber, specific i informat, prin care persoana vizat accept s fie
prelucrate datele cu caracter personal care o privesc,
lund n considerare faptul c principiul de baz ce guverneaz prelucrarea datelor personale
trebuie s fie consimmntul, astfel nct, ca regul general, datele personale trebuie colectate,
prelucrate sau dezvluite unor teri numai cu consimmntul dat n mod expres i neechivoc de
ctre persoana n cauz; consimmntul poate fi obinut numai dup ce persoana vizat a fost
complet i exact informat cu privire la scopul prelucrrii acestora; exercitarea autonomiei de
voin a persoanei vizate n privina prelucrrii datelor sale presupune faptul c n orice moment
aceasta i poate retrage consimmntul pentru prelucrarea tuturor sau a unora dintre datele sale
personale, fr consecine negative asupra sa,
avnd n vedere faptul c documentele create i deinute de autoritile i instituiile publice pot
conine, prin modul n care au fost reglementate n legislaia specific aplicabil, i codul numeric
Emitent AUTORITATEA NAIONAL DE SUPRAVEGHERE A PRELUCRRII DATELOR CU
CARACTER PERSONAL
>>
Pagina 1 din 4 Afiare Decizie 132 din 2011-12-20, MO PI 929/2011-12-28
29.12.2011 http://www.expert-monitor.ro:8080/LexMonitor/CEOnline/ParteaI/afisareContinut.jsp...
personal sau alte date cu caracter personal avnd o funcie de identificare de aplicabilitate
general, cum ar fi seria i numrul actului de identitate, situaie n care intervin prevederile legale
privind protecia datelor cu caracter personal,
ntruct, potrivit considerentelor (42) i (72) ale Directivei 95/46/CE, n interesul persoanei vizate
sau n vederea protejrii drepturilor i libertilor celorlali, statele membre pot restrnge
drepturile de acces la informaii, iar Directiva 95/46/CE permite s se ia n considerare principiul
dreptului de acces public la documente administrative atunci cnd se pun n aplicare principiile
privind protecia datelor personale,
innd cont de constatrile Curii Europene a Drepturilor Omului rezultate din cauzele referitoare la
divulgarea datelor cu caracter personal, n sensul c trebuie recunoscut autoritilor competente o
anumit putere de a stabili un just echilibru ntre interesele publice i cele private care ar fi
concurente (Cauza Peck contra Regatul Unit din 28 ianuarie 2003),
vznd dispoziiile art. 12 alin. (1) lit. d) i ale art. 14 alin. (1) din Legea nr. 544/2001 privind
liberul acces la informaiile de interes public, cu modificrile i completrile ulterioare, care
stabilesc c datele cu caracter personal nu pot fi fcute publice dect n condiiile legii, iar
informaiile cu privire la datele personale ale ceteanului pot deveni informaii de interes public
numai n msura n care afecteaz capacitatea de exercitare a unei funcii publice,
lund n considerare jurisprudena Curii Constituionale (Decizia nr. 615/2006) n care aceasta a
reinut c n privina anumitor categorii de ceteni i datele personale reprezint un evident
interes public, dar numai n msura n care afecteaz capacitatea de exercitare a unei funcii
publice; n caz contrar, i n asemenea situaii, datele referitoare la viaa intim, familial i
privat, precum i dreptul la propria imagine trebuie protejate prin lege, aa cum prevd
dispoziiile constituionale ale art. 26 alin. (1),
innd cont de faptul c, dei art. 11 din Legea nr. 677/2001, cu modificrile i completrile
ulterioare, prevede o serie de excepii n situaia n care prelucrarea datelor se face exclusiv n
scopuri jurnalistice, literare sau artistice, n sensul neaplicrii art. 5, 6, 7 i 10 din aceeai lege,
fr a se face meniune ns i despre art. 8, care stabilete condiiile prelucrrii codului numeric
personal i a altor date avnd o funcie de identificare de aplicabilitate general,
innd cont de faptul c exist i situaii de excepie de la regula obinerii consimmntului
persoanei vizate cu privire la prelucrarea datelor sale, de strict interpretare i aplicare,
reglementate de art. 5 alin. (2) din Legea nr. 677/2001, cu modificrile i completrile ulterioare,
dar acestea nu aduc atingere dispoziiilor legale care reglementeaz obligaia autoritilor publice
de a respecta i de a ocroti viaa intim, familial i privat,
vznd condiiile de exercitare a drepturilor persoanelor vizate, stabilite de art. 12-18 din Legea
nr. 677/2001, cu modificrile i completrile ulterioare,
ntruct, potrivit art. 15 din Legea nr. 677/2001, cu modificrile i completrile ulterioare,
persoana vizat are dreptul de a se opune n orice moment, din motive ntemeiate i legitime
legate de situaia sa particular, ca date care o vizeaz s fac obiectul unei prelucrri, cu excepia
cazurilor n care exist dispoziii legale contrare,
lund n considerare caracterul special al codului numeric personal, pentru care operatorul este
obligat s ia msuri tehnice i organizatorice destinate s i asigure confidenialitatea i
securitatea, n scopul de a preveni toate riscurile de dezvluire sau acces neautorizat,
avnd n vedere c, potrivit Legii nr. 24/2000 privind normele de tehnic legislativ pentru
elaborarea actelor normative, republicat, cu modificrile i completrile ulterioare, n categoria
actelor normative intr legile, ordonanele i hotrrile Guvernului, actele normative ale celorlalte
autoriti cu atribuii de iniiativ legislativ, precum i ordinele, instruciunile, alte acte normative
emise de conductorii autoritilor administrative autonome i organele administraiei publice
centrale de specialitate, precum i actele cu caracter normativ emise de autoritile administraiei
publice locale,
ntruct Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal este
consultat, n condiiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificrile i
completrile ulterioare, la elaborarea proiectelor de acte normative referitoare la protecia
drepturilor i libertilor persoanelor, n privina prelucrrii datelor cu caracter personal;
avnd n vedere obligaiile instituite n sarcina operatorului prin art. 19 i art. 20 alin. (1) din
Legea nr. 677/2001, cu modificrile i completrile ulterioare, potrivit crora acesta este obligat s
aplice msurile tehnice i organizatorice adecvate pentru protejarea datelor cu caracter personal
mpotriva distrugerii accidentale sau ilegale, pierderii, modificrii, dezvluirii ori accesului
neautorizat, n special dac prelucrarea respectiv comport transmisii de date n cadrul unei
reele, precum i mpotriva oricrei alte forme de prelucrare ilegal,
n baza art. 3 alin. (5) din Legea nr. 102/2005 privind nfiinarea, organizarea i funcionarea
Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal, cu modificrile i
completrile ulterioare, i ale art. 6 alin. (2) lit. b) din Regulamentul de organizare i funcionare a
Pagina 2 din 4 Afiare Decizie 132 din 2011-12-20, MO PI 929/2011-12-28
29.12.2011 http://www.expert-monitor.ro:8080/LexMonitor/CEOnline/ParteaI/afisareContinut.jsp...
Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal, aprobat prin
Hotrrea Biroului permanent al Senatului nr. 16/2005, cu modificrile i completrile ulterioare,
preedintele Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal emite
prezenta decizie.
Articolul 1

(1) Codul numeric personal reprezint un numr semnificativ care individualizeaz n mod unic o
persoan fizic, constituind un instrument de verificare a strii civile a acesteia i de identificare
n anumite sisteme informatice de ctre persoanele autorizate.

(2) Datele cu caracter personal cu funcie de identificare de aplicabilitate general sunt acele
numere prin care se identific o persoan fizic n anumite sisteme de eviden i care au
aplicabilitate general, cum ar fi: codul numeric personal, seria i numrul actului de identitate,
numrul paaportului, al permisului de conducere, numrul de asigurare social sau de sntate.

(3) Datele prevzute la alin. (1) i (2) fac parte din categoria datelor cu caracter special supuse
regulilor specifice de prelucrare.
Articolul 2
Prelucrarea datelor prevzute la art. 1, inclusiv dezvluirea acestora ctre teri, se face numai n
condiiile stabilite la art. 8 din Legea nr. 677/2001 pentru protecia persoanelor cu privire la
prelucrarea datelor cu caracter personal i libera circulaie a acestor date, cu modificrile i
completrile ulterioare, i anume:
a)persoana vizat i-a dat n mod expres consimmntul; sau
b)prelucrarea este prevzut n mod expres de o dispoziie legal; sau
c)n alte cazuri, cu avizul Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter
Personal i numai cu condiia instituirii unor garanii adecvate pentru respectarea drepturilor
persoanelor vizate.
Articolul 3

(1) n domeniul prelucrrii datelor cu caracter personal, consimmntul persoanei vizate
reprezint orice manifestare de voin expres, liber, specific i informat, prin care persoana
vizat accept s fie prelucrate datele cu caracter personal care o privesc.

(2) Consimmntul trebuie dat n mod expres, ntr-o form care s permit dovedirea acestuia
de ctre operator.

(3) Anterior obinerii consimmntului, operatorul are obligaia de a informa persoana vizat, n
concordan cu prevederile art. 12 alin. (1) din Legea nr. 677/2001, cu modificrile i
completrile ulterioare.

(4) Cazurile n care informarea se dovedete imposibil sau ar implica un efort disproporionat
fa de interesul legitim care ar putea fi lezat, prevzute de art. 12 alin. (3) i (4) din Legea nr.
677/2001, cu modificrile i completrile ulterioare, trebuie temeinic justificate i documentate
de ctre operator.
Articolul 4

(1) Proiectele de acte normative care stabilesc prelucrarea categoriilor de date de natura celor
prevzute la art. 1 vor respecta principiul caracterului adecvat, pertinent i neexcesiv al acestora
prin raportare la scopul n care sunt colectate i ulterior prelucrate, potrivit art. 4 alin. (1) lit. c)
din Legea nr. 677/2001, cu modificrile i completrile ulterioare.

(2) La elaborarea proiectelor de acte normative prevzute la alin. (1), Autoritatea Naional de
Supraveghere a Prelucrrii Datelor cu Caracter Personal este consultat, n condiiile art. 21 alin.
(3) lit. h) din Legea nr. 677/2001, cu modificrile i completrile ulterioare.
Articolul 5

(1) n situaia prevzut la art. 2 lit. c), operatorul trebuie s respecte principiul caracterului
adecvat, pertinent i neexcesiv, precum i msurile de confidenialitate i de securitate a
Pagina 3 din 4 Afiare Decizie 132 din 2011-12-20, MO PI 929/2011-12-28
29.12.2011 http://www.expert-monitor.ro:8080/LexMonitor/CEOnline/ParteaI/afisareContinut.jsp...
prelucrrilor. n acest sens va avea n vedere, n principal, instituirea urmtoarelor garanii
adecvate:
a)scopul prelucrrii s fie determinat, explicit i legitim;
b)stabilirea i aplicarea unor msuri prin care s se asigure exercitarea drepturilor persoanelor
vizate;
c)durata de stocare a datelor s fie pe perioada strict necesar ndeplinirii scopului, dup care
datele vor fi terse sau distruse, dup caz;
d)stabilirea modalitilor de acces la sistemele de eviden n vederea colectrii datelor, n
funcie de care va stabili i va respecta msuri tehnice i organizatorice adecvate pentru
protejarea datelor;
e)utilizarea datelor numai n limitele scopului stabilit;
f)dezvluirea ctre ali destinatari este interzis, cu excepia situaiei n care exist
consimmntul persoanei vizate sau o prevedere legal expres;
g)desemnarea, n scris, a persoanei/persoanelor care va/vor prelucra datele i care trebuie s i
asume rspunderea pstrrii confidenialitii acestora; lista coninnd evidena acestor persoane
va fi actualizat ori de cte ori se impune;
h)numirea, n scris, a unei persoane specializate n securitatea informaiei care s vegheze la
prelucrarea datelor, inclusiv la buna funcionare a sistemelor informatice utilizate n aceast
activitate;
i)stabilirea unui plan de securitate a informaiilor care s cuprind, n principal, securitatea
tehnic pe plan informatic i securitatea spaiilor n care se prelucreaz datele, innd cont de
cerinele minime de securitate;
j)stabilirea, n scris, a drepturilor i obligaiilor operatorului care transmite datele i ale
operatorului care le primete.

(2) Drepturile persoanelor vizate vor fi asigurate n condiiile art. 12-18 din Legea nr. 677/2001,
cu modificrile i completrile ulterioare.

(3) n cazul n care operatorul desemneaz o persoan mputernicit, n condiiile Legii nr.
677/2001, cu modificrile i completrile ulterioare, prevederile alin. (1) lit. b)-i) devin aplicabile.
Articolul 6
Colectarea i prelucrarea datelor prevzute la art. 1, inclusiv dezvluirea acestora, prin
efectuarea i reinerea de copii de pe cartea de identitate sau de pe documente care le conin,
sunt interzise, cu excepia situaiilor prevzute la art. 2.
Articolul 7
Prelucrarea datelor prevzute la art. 1, inclusiv dezvluirea acestora, efectuat exclusiv n scopuri
jurnalistice, literare sau artistice, se realizeaz cu respectarea condiiilor stabilite de Legea nr.
677/2001, cu modificrile i completrile ulterioare, i de prezenta decizie.
Articolul 8
Colectarea i prelucrarea ulterioar a datelor prevzute la art. 1, inclusiv dezvluirea acestora,
obinute din documente accesibile publicului, se pot realiza de ctre operatori n condiiile
prezentei decizii.
Articolul 9
Prezenta decizie nu aduce atingere dispoziiilor legale n vigoare care reglementeaz expres
colectarea i prelucrarea codului numeric personal sau a altor date cu caracter personal avnd o
funcie de identificare de aplicabilitate general.
Articolul 10
Prezenta decizie se public n Monitorul Oficial al Romniei, Partea I, i intr n vigoare n termen
de 30 de zile de la data publicrii.
Preedintele Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal,
Georgeta Basarabescu
Bucureti, 20 decembrie 2011.
Nr. 132.
Pagina 4 din 4 Afiare Decizie 132 din 2011-12-20, MO PI 929/2011-12-28
29.12.2011 http://www.expert-monitor.ro:8080/LexMonitor/CEOnline/ParteaI/afisareContinut.jsp...